ГОСТ Р ИСО/МЭК 17826-2015
Приложение А
(обязательное)
Безопасность передачи
А.1 Введение
Во многих реализациях CDMI™ протокол передачи гипертекста (Hypertext Transfer Protocot, HTTP) служит
для передачи CDMI сообщений. В данном приложении описаны детали, связанные с обеспечением безопасности
этого транспортного протокола.
А.2 Общие требования к реализациям HTTP
Требования безопасности к реализациям HTTP относятся и к клиентам, и к серверам CDMI. Клиент CDMI
должен соответствовать требованиям безопасности, которые накладывает на клиентов использование HTTP. Сле
дующие общие требования обеспечивают безопасность передачи при использовании HTTP:
- необходима реализация либо базовой аутентификации HTTP, либо дайджест-аутентификации HTTP;
- пользовательские идентификаторы и права доступа (пароли)должны использовать базовую аутентифика
цию HTTP ТОЛЬКО в сочетании с безопасностью транспортного уровня (Transport Layer Security, TLS):
- пользовательские идентификаторы и права доступа, использованные в одном из типов аутентификации
HTTP (т.в.. базовой илидайджест) никогда недолжны затем использоваться с другим типом аутентификации HTTP.
Чтобы не снижать целостность более сильной системы защиты, одни и те же пароли не должны использоваться
в системах защиты разной силы;
- в CDMI следует использовать по меньшей мере TLS 1.0, а использование более новых версий TLS (напри
мер, v1.1 и v1.2) очень желательно. Использование TLS в системах CDMI опционально, но должно использоваться
для защиты критических данных;
- хотя HTTP должен быть реализован всеми сущностями CDMI, его использование опционально.
Реализация использования HTTP над TLS (HTTPS) опциональна. К таким реализациям предъявляются сле
дующие требования:
- Для обеспечения минимального уровня безопасности и совместимости различных реализаций следует
поддерживать следующие системы шифрования:
- TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (обязательно для TLS 1.0).
- TLS_RSA_WITH_AES_128_CBC_SHA (обязательно для TLS 1.1/1.2). и
- TLS_RSA_WTTH_NULL_SHA (для TLS без шифрования).
П р и м е ч а н и е — Разработчики могут использовать дополнительные системы шифрования, но для них
нет гарантии совместимости различных реализаций:
- Для связи клиентов и серверов необходимо использовать совместимый подход к безопасности. Правиль
но конфигурированные клиент и сервер не смогут сообщаться, если один из них использует порт 80. а другой -
порт 443. Клиенты, которые не могут подключиться к CDMI серверу по протоколу HTTPS по порту TCP 443. должны
воспользоваться HTTP портом 80, если это допускается их политикой безопасности;
- серверы могут ускорять поиск клиентом безопасного канала, отвечая контактам HTTP на TCP порт 80
статусом HTTP REDIRECT на подходящий HTTPS: URI (HTTP над TLS на порт TCP 443), чтобы избежать задержки
после запроса клиентом по HTTP. В такой ситуации клиенты должны вести себя в соответствии с указанной пере
адресацией;
- все сертификаты, включая корневые сертификаты СА. используемые клиентом для проверки сертифика
та. должны быть заменяемыми;
- должны был» поддержка сертификатов в кодировках DER Х.509, base 64 Х.509 и формате PKCS#12;
- списки отозванных сертификатов (Certificate Revocation Lists) должны поддерживаться в форматах кодиро
вок DER Х.509 и base 64 Х.509.
П р и м е ч а н и е — Так как в области безопасности нет абсолютных правил, если указанные версии оказы
ваются уязвимыми или некорректными, реализации CDMI как можно скорее должны переключиться на использо
вание обновленной версии TLS и более сильное шифрование.
А.З Базовая безопасность HTTP
HTTP является обязательным механизмом передачи в данной версии CDMI. Важно отметить, что HTTP сам
по себе не предоставляет никакой конфиденциальности или защиты целостности.
Клиенты CDMI сами обеспечивают аутентификацию пользователей на каждом сервере CDMI, к которому
требуется доступ. Сервер CDMI действует как аутентификатор и получает права доступа пользователя через опе
рации аутентификации HTTP.
151