ERP/1: Сертифікати

Опис

synrc/ca виводить керування цифровими ідентичностями на новий рівень безпеки та продуктивності. Завдяки унікальній архітектурі, система не лише підтримує класичні та сучасні децентралізовані моделі EUDI (OpenID4VC), але й гарантує абсолютну цілісність даних через імплементацію контролів на рівні самої віртуальної машини BEAM.

Криптографічне ядро реалізовано на Erlang, забезпечуючи сумісність з міжнародними (NIST, ANSI) та національними стандартами (ДСТУ). Це рішення розроблено для високонавантажених, безперебійних середовищ державного та фінансового секторів, де компроміси щодо безпеки є неприпустимими.

Криптографічні можливості

Підписання

PBMAC1, ECDSA (Pure Elixir), RSA
CAdES, ДСТУ 4145:2014, ДСТУ 7564:2014

Шифрування

AES, AES-KW, CMS
ДСТУ 7624:2014 (Калина)

Деривація

KDF, HKDF, PBKDF2

Криві

SECP384R1, SECP256V1, SECP521R1
CURVE25519, CURVE448

Безпекові переваги (Erlang)

Платформа synrc/ca розроблена на базі віртуальної машини BEAM (Erlang/OTP), створеної спеціально для безперебійних телекомунікаційних систем. Це архітектурне рішення виключає цілі класи критичних вразливостей (CVE) та дозволяє нам забезпечити нативну підтримку ключових контролів безпеки NIST, які недосяжні на віртуальних машинах CRL і JVM:

SI-16

ЗАХИСТ ПАМ'ЯТІ. Відсутність ручного керування пам'яттю повністю виключає вразливості типу Buffer Overflow та Use-After-Free, які є найчастішим вектором атак у класичних C/C++ серверах.

SC-39

ІЗОЛЯЦІЯ ПРОЦЕСУ. Мільйони легковагових акторів (процесів) ізольовані на рівні віртуальної машини. Збій або компрометація одного процесу ніколи не вплине на інші, забезпечуючи абсолютну стійкість. Тому, що у кожного BEAM процесу свій gc, чого немає в JVM і CLR.

SI-13

ЗАПОБІГАННЯ ЗБОЇВ. Філософія "Let it crash" та потужні дерева супервізорів (Supervision Trees) забезпечують автоматичне відновлення стану системи за мілісекунди без простоїв.

AC-25

ОПОРНИЙ МОНІТОР. Маршрути, правила ABAC та критичні реєстри компілюються прямо в байт-код (memory-resident). Це виключає затримки БД і гарантує неможливість обходу політик (non-bypassable).

SC-5

ЗАХИСТ ВІД ВІДМОВИ В ОБСЛУГОВУВАННІ. На відміну від JVM/CLR зі Stop-The-World паузами, кожен процес має мікро-GC. Витискальна багатозадачність гарантує Soft Real-time відгук і захист від Application DoS-атак.

SI-2

УСУНЕННЯ ВРАЗЛИВОСТЕЙ (HOT CODE SWAPPING). Дозволяє замінювати скомпільований код (патчі) «на льоту» без рестарту VM. Ви можете закривати вразливості або міняти логіку без розриву активних з'єднань клієнтів.

Гомотопічне кодування (ASN.1 DER)

Ми обрали ASN.1 DER як фундаментальний стандарт серіалізації для всіх API ендпойнтів нашої екосистеми. На відміну від популярних форматів (Protobuf / gRPC, JSON), які є вразливими до маніпуляцій через множинність варіантів кодування одного й того ж об'єкта, гомотопічний (канонічний) DER математично гарантує єдине унікальне байтове представлення для кожної структури даних. Це повністю виключає атаки типу Parser Differentials (наприклад, Bleichenbacher's forgery) та дозволяє нам забезпечити бездоганне виконання наступних вимог безпеки:

SI-10

ПЕРЕВІРКА ВВОДУ ІНФОРМАЦІЇ. Сувора перевірка вхідних даних відкидає будь-які нестандартні (BER) або надлишкові кодування, унеможливлюючи вразливості до маніпуляцій (malleability).

SI-7

ЦІЛІСНІСТЬ ІНФОРМАЦІЇ. Цифрові підписи та хешування залишаються валідними лише за умови бієктивної (гомотопічної) серіалізації, захищаючи від прихованої модифікації байтового представлення.

SC-13

КРИПТОГРАФІЧНИЙ ЗАХИСТ. Вимоги стандартів (X.509, CMS, PKCS) для безпечного застосування криптографії та збереження довіри до інфраструктури відкритого ключа (PKI).

Сервіси та протоколи

EST (Enrollment over Secure Transport) — автоматизація видачі сертифікатів.
CMP (Certificate Management Protocol) — повний життєвий цикл сертифікатів.
OCSP (Online Certificate Status Protocol) — онлайн-перевірка статусу.
TSP (Time Stamping Protocol) — сервер міток часу.
LDAP — інтеграція з директоріями для публікації сертифікатів та CRL.
eIDAS — кореневий сервер інфраструктури EUDI.
OpenID4VC — сервер видачі офіційних довготривалих документів.
OpenID4VP — сервер верифікації офіційних довготривалих документів.

Архітектура EUDI

EUDI — це децентралізований PKIX з контролем атрибутів на рівні ABAC, що використовує JSON для кодування та HTTP як транспорт.

Holder (Wallet) iOS/Android додаток для зберігання та презентації облікових даних.

Issuer (Provider) OpenID для Verifiable Credentials (PID, QEAA).

Verifier Перевірка статусу та презентацій облікових даних.

На відміну від централізованої моделі PKIX, EUDI забезпечує розподілену модель без єдиного кореневого CA, де всі сторони пов'язані криптографічно, забезпечуючи приватність через участь Holder в процесі перевірки.

Профілі безпеки КСЗІ

Система підтримує автоматичну побудову профілів Комплексної системи захисту інформації (КСЗІ) на основі нормативно-правових актів у галузі технічного захисту інформації (ТЗІ НПА). Це дозволяє автоматизувати створення документації та мапінг вимог законодавства на технічні налаштування. Усі сертифікати видаються з імпринтами OID відповідних профілів безпеки.

SECURITY POLICY

SECURITY ARCHITECTURE

Імплементація Опорного монітора (Reference Monitor, AC-25): Для гарантування цілісності та неможливості обходу (non-bypassable), динамічні політики безпеки (ABAC) не зберігаються у традиційних базах даних. Натомість в ERP/1 Сертифікати матриця доступу та політики компілюються безпосередньо у незмінний (immutable) BEAM байт-код віртуальної машини Erlang, функціонуючи як memory-resident механізм. Це архітектурне рішення забезпечує виконання вимог NIST щодо захисту політик від модифікації (tamper-proof) та повністю нівелює класичні вектори атак на корупцію пам'яті (Buffer Overflow, Use-After-Free), притаманні традиційним ANSI C99 реалізаціям, усуваючи відповідні класи вразливостей (CVE).

Використання стандартів NIST і ISO

NIST SP 800-53 — Контроли безпеки та приватності
NIST SP 800-53A — Доступ до контролів безпеки в організаціях
NIST SP 800-37 — Структура управління ризиками (RMF)
FIPS 199 / FIPS 200 — Категоризація та мінімальні вимоги
NIST SP 800-162 — Настанови щодо систем ABAC
ISO/IEC 27002 — Інформаційні технології — Методи захисту — Контролі інформаційної безпеки
ISO/IEC 27001 — Системи управління інформаційною безпекою — Вимоги

Параметри безпеки

Автоматизована прив'язка політик безпеки до метрик
Динамічний контроль доступу на основі атрибутів
Неперервний аудит, логування подій та моніторинг
Безперервна верифікація та валідація криптографічних засобів і сертифікатів

Походження архітектури контролів: NIST vs ISO

Класифікація сімейств заходів захисту, яка лежить в основі платформи (абревіатури AC, AU, SC, IA тощо), не є частиною міжнародних стандартів ISO/IEC 27001 або 27002. Ці стандарти мають інший підхід до групування. Наша архітектура базується на еталонному каталозі NIST SP 800-53 (США). Саме ця гранулярна база контролів була нещодавно повністю адаптована Державною службою спеціального зв’язку та захисту інформації України у новому національному стандарті НД ТЗІ 3.6-006-24. Ми обрали шлях NIST, оскільки він забезпечує максимальну деталізацію, необхідну для побудови military-grade систем та атестації державних реєстрів.

Державний сектор (НД ТЗІ 3.6-006-24)

У державному секторі України захист інформації регламентується новітнім стандартом НД ТЗІ 3.6-006-24, який повністю гармонізовано з NIST SP 800-53. Процедура побудови Комплексної системи захисту інформації (КСЗІ) передбачає:

Розробку та затвердження Цільового профілю безпеки системи на основі Базового або Галузевого профілю.
Впровадження засобів технічного і криптографічного захисту, що відповідають обраним заходам контролю.
Проведення державної експертизи КСЗІ (або декларування відповідності) для отримання Атестата відповідності від Держспецзв'язку.

НД ТЗІ 3.6-006-24

НД ТЗІ 2.3-025-24 Том 1

НД ТЗІ 2.3-025-24 Том 2

НД ТЗІ 2.3-025-24 Том 3

Приватний сектор (NIST SP 800-53)

Для корпоративного сектору, фінтеху та критичної інфраструктури еталоном є пряме застосування сімейства стандартів NIST. Сертифікація базується на Risk Management Framework (NIST SP 800-37) і включає:

Категоризацію системи за FIPS 199/200 та вибір базового профілю контролів (Baseline) за NIST SP 800-53.
Розробку System Security Plan (SSP) та імплементацію архітектури безпеки і засобів моніторингу.
Незалежну оцінку контролів за NIST SP 800-53A та формальне надання внутрішнього дозволу на експлуатацію (Authority to Operate - ATO).

NIST SP 800-53 Rev. 5

NIST SP 800-53A Rev. 5

NIST SP 800-53B

Принцип розділення обов'язків (Segregation of Duties)

Відповідно до нормативної бази України (НД ТЗІ 2.6-001-11) та найкращих світових практик (принцип Maker/Checker), побудова та сертифікація Комплексної системи захисту інформації (КСЗІ) є строго двоетапною процедурою. Вона вимагає залучення двох абсолютно незалежних провайдерів-ліцензіатів для унеможливлення конфлікту інтересів.

Етап 1: Розробник (Провайдер №1)

Проводить оцінку ризиків, обстеження середовища та створює «технічні інструкції» — Технічне завдання (Цільовий профіль безпеки). Здійснює фізичну імплементацію архітектури безпеки: налаштовує криптографію, Reference Monitor (AC-25), встановлює сертифікати та здає систему в дослідну експлуатацію.

Етап 2: Організатор експертизи (Провайдер №2)

Отримує Технічне завдання від розробника та розробляє Програму експертизи. Проводить незалежний технічний аудит, інструментальне тестування та перевірку імплементованих контролів наживо. У разі успіху видає Експертний висновок для Держспецзв'язку.

FULL DIRECTORY (1123)

Повний каталог контрольних елементів з трьохтомника НД ТЗІ 2.3-025-24.

OPEN & CONFIDENTIAL (126)

Базовий профіль безпеки відкритої і конфіденційної інформації затверджений Наказом Адміністрації Держспезв'язку №409 від 30.06.2025.

OFFICIAL (155)

Базовий профіль безпеки службової інформації затверджений Наказом Адміністрації Держспезв'язку №419 від 02.07.2025.

COURT INDUSTRY PROFILE (190)

Галузевий профіль безпеки для судової системи. Описує розширений набір базових контролів (Baseline) для обробки чутливої інформації в державних реєстрах та судах, враховуючи вимоги високої доступності та цілісності даних на базі НД ТЗІ 3.6-006-24.

THE DIGITAL UKRAINIAN GOVERNMENT INDUSTRY PROFILE (350)

Галузевий профіль безпеки Міністерства цифрової трансформації України. Описує розширений набір базових контролів (Baseline) для обробки чутливої інформації в державних реєстрах та судах, враховуючи вимоги високої доступності та цілісності даних на базі НД ТЗІ 3.6-006-24.

ERP/1 SECURITY TARGET

Цільовий профіль для телекомунікаційної системи ERP/1. Описує імплементацію управління доступом на основі атрибутів (ABAC), управління інформаційними потоками (BPE), інфраструктури відкритих ключів (PKI) та надійного аудиту (KVS) для безпеки критичних бізнес-процесів організації.

X.509 CMS MESSAGING SECURITY TARGET

Цільовий профіль для систем корпоративного месенджера. Базується на криптографічних протоколах X.509 та CMS (Cryptographic Message Syntax), забезпечуючи наскрізне шифрування (E2EE), строгу автентифікацію та гарантію невідмовності авторства для юридично значущих комунікацій.

VPN SECURITY TARGET

Цільовий профіль для інфраструктури віртуальних приватних мереж (VPN) та центрів сертифікації (PKI). Визначає механізми тунелювання, автентифікації вузлів (SC-8) і захисту мережевого трафіку на транспортному рівні для захисту каналів зв'язку від перехоплення та модифікації.

Історія розробки

2010—2018: LDAP Сервер.
2020: Кваліфікований Електронний Підпис (КЕП).
2023: CMS Messenger, CHAT X.509, CMS S/MIME & S/MIME Compliance.
2023: LDAP Compliance, CMP/CMC/EST, MLS ROOM CHAT.
2023: CA CURVE, CHAT ASN.1, ASN.1 Компілятор, SWIFT X.509.
2024: ASN1.EX X.680, EST сервер 7030.
2025: EUDI, CBOR COSE, MSO MDoc.
2026: реєстрація авторського твору.

Сертифікати
Безпеки