Эстони, Финланд, Исланд, Япон зэрэг 20+ улс ашигладаг open-source X-Road технологиор Монгол улсын байгууллага хоорондын өгөгдөл солилцоог cryptographic baталгаа, message log, timestamping-тайгаар хийнэ.
2001 онд Эстони улсад анх бүтээгдэж, NIIS (Nordic Institute for Interoperability Solutions)-ийн зүгээс хөгжүүлэгддэг мэдээллийн нийгэмлэг бүхий байгууллагуудын хоорондын аюулгүй мэдээлэл солилцох технологи.
Төв сан байхгүй, member тус бүр өөрийн Security Server (SS)-аа эзэмшинэ. Мэдээлэл нь нэг member-ээс нөгөө member-руу шууд (point-to-point) дамжина.
Мессеж тус бүр илгээгчийн нууц түлхүүрээр signed (non-repudiation), TSA-аар timestamp хийгдсэн, OCSP-ээр revocation шалгагдсан байна.
Бүх дамжуулсан мессеж SS-ийн дотоод log-д хадгалагдаж, court-д хууль ёсны нотолгоо болох (legally binding) чадвартай.
X-Road instance нь нэг Central Server (CS) болон олон Security Server (SS)-аас бүрдэнэ. Mеssage flow нь хатуу схемээр явна.
Pink = Central Server (trust anchor + global conf), Purple = Member-ийн Security Server, Green = Member-ууд хооронд шууд (point-to-point) дамжуулга
Trust root — member-уудын жагсаалт, signing keys, configuration anchor-уудыг удирдана. Member-ууд CS-аас global configuration-ыг 1 минут тутамд татаж цэгцлэнэ.
Member-ийн өөрийн service-үүдийг гадагш нийтлэх (provider) болон бусад member-ийн service-ийг ашиглах (consumer) gateway. Sign / Auth key, message log, OCSP, TSA client дотроо багтаасан.
Хариу нь нөгөө чиглэлд адил дамжина. Бүх алхам-д cryptographic verify ба message log entry хийгдэнэ.
X-Road нь 4 layer-ын аюулгүй байдалтай — TLS, message-level signature, OCSP revocation, RFC 3161 timestamp.
SS-үүд хооронд холболт хийхдээ auth certificate-ыг харилцан шалгана. CA-аас signed cert байхгүй member холбогдох боломжгүй.
TLS-ээс гадуур, message body-д sign certificate-аар XAdES/JAdES хэлбэрээр гарын үсэг зурна. Энэ нь content signing — court-д хүлээн зөвшөөрөгдөх legally binding нотолгоо.
Cert ашиглахын өмнө CA-ийн OCSP responder-ээр revocation status шалгана. Stale OCSP response (4 цагаас хуучин) автомат татгалзагдана.
Дамжсан message бүрд TSA-аас timestamp token авч хадгална. 5+ жилийн дараа ч "энэ message яг тэр цагт байсан" гэдэг crypto баталгаа байна.
X-Road-д төв сан байхгүй, мэдээллийг хадгалдаггүй. Бүх өгөгдөл нь тухайн member-ийн өөрийн дотор байж, шаардсан үед л шууд илгээгдэнэ. Гуравдагч этгээд (X-Road operator) ч тэр data-г харах боломжгүй (end-to-end signed + member-ийн өөрийн infra).
Байгууллагаа X-Road MN instance-д member болгож, өөрийн Security Server-ээ суулгах процесс. Эхнээс эцэс хүртэл 1-2 ажлын өдөрт амжина.
contact@gerege.mn руу байгууллагын нэр, регистр, холбогдох хүний мэдээлэл болон таны хүсэн ажиллах service-үүдийн товч тайлбар бүхий өргөдөл явуулна. MN instance operator (Гэрэгэ Системс)-аас 1-2 ажлын өдөрт хариулна.
Гэрэгэ-ийн зүгээс байгууллагыг X-Road MN-д member болгож CS-д бүртгэнэ. Member identifier нь MN/COM/<regno> хэлбэртэй болно.
Цэвэр Ubuntu 22.04 / 24.04 VPS дээр (минимум 4 GB RAM, 20 GB disk) NIIS-ийн стандарт xroad-securityserver
package-аар суулгана. Detail install guide танд илгээгдэнэ. Хэрэв managed service хүсвэл Гэрэгэ-ийн зүгээс tier-эд орох боломжтой.
SS UI-аас Sign + Auth CSR generate хийгээд gerege.mn дээрх "X-Road гарын үсгийн сертификат" хэсгээр upload хийнэ. Хариу cert .cer файл шууд татагдаад SS-руу import. RA officer review queue-ийн дараа автомат issuance.
REST/SOAP service-ээ SS UI-аар бүртгэж OpenAPI/WSDL upload хийнэ. ACL-д хандах боломжтой member/subsystem-уудыг тогтооно (default deny). Тестлэгдсэний дараа service production statе-д шилжинэ.
Та одоо X-Road MN ecosystem-ийн бүрэн гишүүн. Бусад member-ийн service-ийг гадасэрц шууд consumer-аар авах ба өөрийн service-ийг publish хийнэ. SLA monitoring, message log, ОCSP-ийн бүх metric-ийг SS UI-аас харагдана.
Манай тимтэй холбогдож X-Road MN-д бүртгүүлэх процессыг эхлүүлээрэй.
Тийм. NIIS-ийн X-Road code base нь EUPL-1.2 license-тай open-source. Software нь үнэгүй, гэхдээ Security Server-ийн hosting (VPS, networking) болон operator (Гэрэгэ Системс)-ийн membership/SLA fee тус тусдаа.
Хур-ийн service нь X-Road MN дээр publish хийгдсэн тохиолдолд member болсон байгууллага шууд consumer-аар хандах боломжтой. Гэхдээ service бүр өөрийн ACL-тэй — Хур operator зөвшөөрсөн байгууллагууд л хандана. Default deny.
X-Road v7-аас REST API нь first-class citizen. OpenAPI 3 spec upload хийж endpoint-уудыг publish хийнэ. SOAP/WSDL ч мөн backward compatible-аар дэмжигддэг.
Тийм, технологийн хувьд X-Road federation дэмжигддэг — instance-уудын Central Server-үүд External Configuration anchor-аар trust солилцож, member-ууд хооронд service ашиглах боломжтой. Гэхдээ legal MOU + bilateral agreement шаардлагатай — энэ нь policy-track ажил.
SS бүр өөрийн encrypted backup (GPG)-ийг daily/weekly cron-оор автомат гаргана. Configuration, message log, key state бүгд хамрагдана. Гэрэгэ-ийн зүгээс managed tier нь off-site backup (S3-compatible)-ыг ч санал болгоно. CS дээр HA cluster (PostgreSQL streaming replication) сонголт бий — high-availability deployment мастер планд.
Тийм, X-Road signer нь PKCS#11-ээр HSM-тэй харьцана. SafeNet, Thales, Yubico, AWS CloudHSM зэрэг production HSM-ууд дэмжигддэг. Default suug software token (file-based encrypted key) ашигладаг ба later production hardening-д HSM-руу шилжих боломжтой.