agievich
commented
1 year ago Предлагается изменить требование УБ.3 и сопроводить его примечанием:
Требование УБ.3 (3). БА должен содержать открытый ключ пользователя, прошедшего аутентификацию, или ссылку на открытый ключ. Пользователь должен доказать владение личным ключом, соответствующим открытому, при предъявлении билета ПС.
Примечание. Открытый ключ пользователя может распространяться в форме сертификата, зарегистрированного в качестве открытого аттестата. При этом соответствующий личный ключ размещается на КТ, а при аутентификации пользователь доказывает владение токеном и, как следствие, личным ключом. Возможны другие сценарии. Например, БА может ссылаться на одноразовые открытый и личный ключи, которые формируются непосредственно в ходе протокола аутентификации, или на долговременные ключи, которые не используются для аутентификации.
Суть корректировок: открытый ключ, который указывается в БА, не обязательно распространяется в форме сертификата и не обязательно является долговременным.
Дополнительно следует отметить, что сертификат открытого ключа пользователя может выступать в качестве (открытого) аттестата пользователя (см. преамбулу пакета УА). При этом сертификаты не обязательно входят в состав токенов аутентификации. Но могут и входить. Об этом, например, говорится в пункте 4.4:
ЦФ может выпускать в обращение персональные аппаратные КТ пользователей. При выпуске на КТ записываются идентификационные данные, личный ключ и сертификат владельца. КТ могут использоваться при аутентификации.
Требование УБ.3 ссылается на "сертификат открытого ключа аутентифицированного пользователя", который в стандарте не определен и отсутствует у аутентифицированного пользователя для перечисленных в разделе 6 токенов.