воскресенье, 27 сентября 2020 г.

ИСО и МЭК: Продолжается работа над стандартом ISO/IEC 23264 «Цензурирование аутентичных данных»


Как сообщил сайт Международной организации по стандартизации, в конце августа завершилось публичное обсуждении и голосование по проекту международного стандарта ISO/IEC DIS 23264-1 «Информационные технологии – Цензурирование аутентичных данных – Часть 1: Общие положения» (Information security - Redaction of authentic data - Part 1: General) объёмом 11 страниц основного текста, см. https://www.iso.org/standard/78341.html и https://www.iso.org/obp/ui/#!iso:std:78341:en .

Сразу отмечу, что под «аутентичными данными» здесь понимаются данные, удостоверенные с использованием асимметричной криптографии (например, с использованием усиленной электронной подписи).

Над стандартом работает подкомитет SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1 «Информационные технологии» (Information technology).

Я уже подробно рассказывала о работе над этим любопытным документом (см. http://rusrim.blogspot.com/2017/12/blog-post_22.html ). Разработчики с тех пор постарались сделать документ более общим, заменив по тексту подписание усиленной электронной подписью на более общее понятие «удостоверения».

В аннотации на документ сказано:
«Схемы цифрового удостоверения (attestation schemes), - в частности, схемы подписания усиленными электронными подписями и коды аутентификации сообщений, - могут использоваться для обеспечения целостности данных и аутентификации источника данных.

Схема удостоверения с поддержкой цензурирования (redactable attestation scheme) делает возможным удостоверение сообщения таким образом, что если определенные части удостоверенного сообщения (известные как «поля») будут отцензурированы (стёрты, вымараны или безвозвратно удалены), то, несмотря на это, действительность удостоверения отцензурированного сообщения по-прежнему может быть проверена.

Говоря точнее, после удостоверения сообщения удостоверяющее лицо, владеющее закрытым ключом удостоверения (private attestation key), может выделить части сообщения, которые впоследствии могут быть отцензурированы (в смысле стандарта ISO/IEC 27038:2014) любой третьей стороной, располагающей только самим сообщением, его электронным удостоверением и ключом цензурирования удостоверяющего лица (речь идёт об открытом ключе, парном закрытому ключу удостоверения – Н.Х.). Любая иная модификация удостоверенного сообщения (например, цензурирование других частей сообщения или вставка / изменение любых частей) делает удостоверение недействительным.

Схемы удостоверения с поддержкой цензурирования являются базовыми строительными блоками во многих приложениях, обеспечивающих защиту неприкосновенности частной жизни, таких, как сохраняющий неприкосновенность частной жизни обмен информацией или аутентификация, когда сторона может принять решение раскрывать только ту информацию, которую абсолютно необходимо передать получателю, в то время как получатель информации по-прежнему сможет убедиться, что полученная информация была ранее подписана удостоверена - например, государственным органом.

Цель стандарта для цензурируемого удостоверения заключается в том, чтобы скорректировать имеющие место нестыковки и непоследовательность в определении свойств в существующих спецификациях подобных схем, и облегчить внедрение этой технологии на практике. В частности, стандарт ставит своей целью заложить основы (например, фокусируя внимание на конкретных алгоритмах сохраняющего аутентичность цензурирования определенных форматов документов - текста, изображений, видео и т.д.) путем установления и определения единой терминологии и свойств подобных схем.

Состоящий из нескольких частей стандарт ISO/IEC 23264  будет дополнять стандарт ISO/IEC 27038:2014 «Информационные технологии – Методы и средства обеспечения безопасности – Требования к электронному цензурированию» (Information technology - Security techniques - Specification for digital redaction, в России адаптирован как ГОСТ Р ИСО/МЭК 27038-2016 «Информационные технологии. Методы обеспечения безопасности. Требования и методы электронного цензурирования», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=196572 - Н.Х.), который регламентирует цензурирование электронных документов, не принимая во внимание вопрос сохранения аутентичности данных.»
Содержание документа следующее:
Предисловие
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения и обозначения
5. Общая модель и процессы
6. Криптографические свойства схем удостоверения с поддержкой цензурирования
Библиография
В настоящее время также идёт работа над второй частью стандарта - ISO/IEC CD 23264-2 «Информационные технологии – Цензурирование аутентичных данных – Часть 2: Схемы подписания с поддержкой цензурирования на основе механизмов асимметричной криптографии» (Information security - Redaction of authentic data - Part 2: Redactable signature schemes based on asymmetric mechanisms), https://www.iso.org/standard/78342.html

Источник: сайт ИСО
https://www.iso.org/standard/78341.html
https://www.iso.org/obp/ui/#!iso:std:78341:en

Комментариев нет:

Отправка комментария