Если брандмауэры защищают сеть от внешнего мира, то инфраструктура с открытыми ключами позволяет запереть данные изнутри.


В ОБХОД ПАРОЛЕЙ
ОСНОВЫ КРИПТОГРАФИИ
ПОЛУЧЕНИЕ КЛЮЧА
ЧТО ТАКОЕ ИНФРАСТРУКТУРА С ОТКРЫТЫМИ КЛЮЧАМИ?
ПОЛУЧЕНИЕ СЕРТИФИКАТА
ПОУЧИТЕЛЬНЫЙ ПРИМЕР

КТО ДОЛЖЕН БЫТЬ УПОЛНОМОЧЕННЫМ ПО ВЫДАЧЕ СЕРТИФИКАТОВ
Сам себе уполномоченный по выдаче сертификатов?


Запирать парадный вход не имеет смысла, если черный ход остался незапертым или открытым. Простой здравый смысл подсказывает, что для безопасности наших домов мы должны обезопасить все точки возможного проникновения злоумышленника. В случае сети примерам проникновения через незапертый черный ход несть числа.

Большинство профессионалов в области сетей хорошо осведомлены о достоинствах брандмауэра. Он располагается на границе сети и не позволяет хакерам и другим злоумышленникам получить несанкционированный доступ к сетевым ресурсам позади брандмауэра.

Брандмауэры служат для защиты парадного входа любой компании, имеющей IP-соединение за пределами своей собственной среды. Но если внутренние пользователи, а также внешние партнеры, которым вы доверяете, не имеют надежных контролируемых средств доступа к сетевым ресурсам, то это равносильно тому, что черный ход остался незаперт.

В ОБХОД ПАРОЛЕЙ

Используемые сами по себе, традиционные средства защиты пользовательского доступа не являются абсолютно надежными. Например, во многих компаниях пользователи получают доступ к серверам приложений, файлов и баз данных после указания правильной комбинации имени и пароля. Кроме того, доступ к электронной почте и приложениям для коллективной работы закрывается зачастую также с помощью паролей. Однако если вы смотрели фильмы о хакерах, то должны знать, что любой пароль можно взломать. Другая проблема состоит в том, что нередко пользователи записывают пароли на клочке бумаги, - тот, кто его найдет, может зарегистрироваться в сети как пользователь, и никто об этом не узнает.

Один из способов обойтись без статических паролей состоит в использовании двухфакторной системы идентификации с помощью аппаратных ключей, предлагаемой, например, Security Dynamics или CryptoCard. В случае таких систем пользователь, как и ранее, набирает свое имя; однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным ключом. Эти изменяющиеся раз от разу цифры синхронизированы с сервером, так что если вы наберете отображаемый аппаратным ключом пароль прежде, чем он изменится, то получите доступ в сеть. В других случаях сообщаемая аппаратным ключом информация всякий раз шифруется, гарантируя уникальность пароля при очередной регистрации.

Как правило, эти двухфакторные системы идентификации используются исключительно удаленными, а не локальными пользователями. Поэтому обеспечиваемая такими системами защита распространяется только на специфических, а не обычных пользователей.

Еще один способ укрепления внутренней защиты состоит в создании инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). Она представляет собой систему управления парами и сертификатами ключей и реализована главным образом в приложениях для электронной коммерции. Однако некоторые компании (в основном крупные) нашли иное применение данной технологии и стали использовать ее для защиты собственных сетей. В частности, они используют шифрование с открытыми ключами и цифровые сертификаты для обеспечения доступа к сети только законным пользователям.

"В целях удобного предоставления информации своим сотрудникам и деловым партнерам компании начинают развертывать сети Intranet и Extranet, причем большая часть хранимой в них информации нуждается в защите, - говорит Алекс ван Сомерен, президент и исполнительный директор компании nCipher, занимающейся вопросами создания инфраструктуры с открытыми ключами. - Компании хотят, чтобы доступ к информации имели только их сотрудники, и никто другой".

Иными словами, с развертыванием Intranet и разрешением доступа извне к информации во внутренней сети IP (так называемая сеть Extranet) сетевые администраторы хотят быть уверены, что только уполномоченные на то пользователи получают доступ к этим системам и закрытой информации, которую они содержат. В такой ситуации цифровые сертификаты и система с открытыми ключами - одно из возможных решений.

Однако внутри компаний ключи и сертификаты применяются довольно редко, главным образом вследствие необходимости создания громоздкой инфраструктуры. Несмотря на то что некоторые производители предлагают или собираются предложить соответствующие продукты, многие компании ждут, пока технология созреет, а стандарты установятся. Но, как в любом новом деле, никогда не помешает исследовать предмет и подготовиться заранее.

ОСНОВЫ КРИПТОГРАФИИ

У многих криптография по-прежнему вызывает в воображении образ башковитого математика, использующего логарифмическую линейку и сложные алгоритмы, чтобы читаемый текст превратить в нечитаемый.

Криптография делится на два основных вида: с симметричными или секретными ключами, в которой один и тот же ключ предназначен для шифрования и дешифрования, и с асимметричными или открытыми ключами, использующая два взаимосвязанных ключа. При помощи криптографии с открытыми ключами, алгоритмы которой медленнее, но надежнее, чем у криптографии с секретными ключами, отправитель получает открытый ключ непосредственно у получателя или из открытого каталога. Отправитель применяет этот открытый ключ к тексту для его шифрования. Чтобы сделать текст снова читаемым, получатель берет свой личный ключ, который никто, кроме него, не знает, и применяет его к зашифрованному тексту.

Поскольку только получатель обладает соответствующим личным ключом, дешифровать текст и прочитать сообщение не может больше никто иной. Любой, кто попытается прочитать сообщение, вынужден будет отступить, так как его личный ключ не соответствует открытому ключу, использованному для зашифровки сообщения.

Так как открытые ключи доступны в соответствии со своим названием всем желающим, необходимо принять меры, чтобы гарантировать, что данный конкретный ключ принадлежит именно тому лицу, от имени которого он предлагается. Тут-то и вступают в игру цифровые сертификаты и уполномоченные по их выдаче.

Цифровой сертификат представляет собой расширение открытого ключа, включающего не только сам ключ, но и информацию, подтверждающую принадлежность ключа. Вместо простого утверждения, что открытый ключ принадлежит конкретному лицу, сертификат гарантирует подлинность данного лица. Любой, кто использует этот открытый ключ для шифрования какого-либо текста, может быть уверен в том, что он будет дешифрован только тем, кому этот текст предназначен.

Уполномоченный по выдаче сертификатов - это организационная единица, удостоверяющая и управляющая цифровыми сертификатами группы пользователей, будь то компания или общество в целом. Функция уполномоченного состоит в проверке личности пользователя на предмет того, что он действительно тот, за кого себя выдает, с последующей после подтверждения выдачей индивидуальных цифровых сертификатов для каждого пользователя.

ПОЛУЧЕНИЕ КЛЮЧА

Сегодня с помощью браузера ключи и сертификаты могут быть получены практически любым желающим. К услугам сообразительных конечных пользователей - стандартные схемы шифрования типа RSA и PGP для генерации своего собственного ключа. Они могут также обратиться на узел Web независимого уполномоченного по выдаче сертификатов (например, Verisign) и получить у него сертификат.

Одна из проблем с такой свободой в том, что сетевые администраторы не имеют никакого контроля над использованием ключей шифрования. Чтобы исправить эту ситуацию, компания может создать свою собственную систему с открытыми ключами для контроля процесса получения и использования ключей. Как говорит Ян Курри, директор по продуктам в Entrust Technologies, дочерней компании Northern Telecom (Nortel), обратиться к системам защиты на базе открытых ключей заставляет целый ряд причин. В качестве примера Курри приводит не только электронную почту, но и электронные формы, удаленный доступ, защищенную передачу файлов, просмотр Web, электронные банковские операции на дому и транзакции с базами данных как определяющие факторы, подвигнувшие Nortel создать подразделение для решения вопросов защиты.

Однако, добавляет Курри, наиболее важная причина создания Entrust состояла в том, что "нельзя предоставить по частям исчерпывающее решение для организации в целом". "Если у вас есть электронная почта, - продолжает он, - то наличие отдельной от нее инфраструктуры для защищенных электронных форм и удаленного доступа вряд ли может существенно помочь организации".

Именно здесь инфраструктура с открытыми ключами находит свое применение, так как с ее помощью сетевые администраторы могут построить единую систему управления парами открытых/личных ключей, цифровыми сертификатами и неизбежно возникающими административными вопросами.

ЧТО ТАКОЕ ИНФРАСТРУКТУРА С ОТКРЫТЫМИ КЛЮЧАМИ?

"Термин "инфраструктура с открытыми ключами" (ИОК) такой же точный, как и термин "предприятие", - говорит Дейв Пауэр, старший вице-президент по маркетингу и развитию в Security Dynamics Technologies. "Это всеобъемлющий термин для описания всего необходимого для использования технологии с открытыми ключами", - подчеркивает он. Термин охватывает управление сертификатами и ключами, а также приложения, функционирующие в среде с открытыми ключами.

Большинство специалистов согласны с тем, что основным компонентом инфраструктуры с открытыми ключами является система управления ключами и сертификатами. "Реализация такой системы может представляться как еще одна непосильная задача для и без того перегруженных сетевых инженеров, но в итоге она позволит сократить возлагаемую на них административную нагрузку по обслуживанию традиционных структур защиты информации на базе IP", - отмечает Курри. "В случае брандмауэров конечный пользователь может быть идентифицирован исключительно по IP-адресу своего компьютера, причем принадлежит он не самому пользователю, а машине, - продолжает он. - Любой, кто получит доступ к машине, может выступать от лица этого человека". Курри указывает также, что для этого пользователя открыт доступ к любым сетевым ресурсам, на которые данная машина имеет права.

Возвращаясь к основам, отметим, что вся инфраструктура с открытыми ключами нуждается в элементарной функции управления ключами. Реализация этой структуры подразумевает не только генерацию пар открытых/личных ключей для конечных пользователей, но и контроль за ними. В настоящее время пользователи могут загрузить программное обеспечение для генерации своих собственных ключей и отправки и приема защищенной электронной почты. Но если эти ключи не обслуживаются из некоторого центра и никто, кроме пользователя, не знает об их существовании, то возможности контроля администратора за политикой защиты информации в рамках всей организации значительно снижаются.

Даже если ключи генерируются и выпускаются ответственным лицом компании по информационной защите, они могут представлять определенную угрозу без реализации надлежащей политики. Например, в том случае, когда пользователь теряет свой личный ключ или уходит из компании, любые зашифрованные данные, если не принять соответствующие меры для восстановления потерянных или украденных ключей, окажутся недоступны.

Последние несколько лет федеральное правительство США и криптографическое сообщество серьезно расходились в позициях по вопросу восстановления ключей. Правительство, не очень хорошо знакомое с этой технологией, запрещает экспорт мощных криптографических программ при отсутствии механизма восстановления ключей. Это условие поставлено для того, чтобы ключи можно было получить по постановлению суда или по другим законным причинам.

Восстановление остается противоречивым вопросом, во всяком случае, в том, что касается роли правительства, однако в деловой практике оно не вызывает каких-либо споров. Если сотрудник использует свои ключи для отправки и приема электронной почты, то компания не может рисковать доступом к информации в том случае, если он, например, уволится или заболеет.

Security Dynamics предлагает депонирование ключей как средство их восстановления. Депонирование ключей подразумевает предоставление доверенной третьей стороне личных ключей на хранение (этой третьей стороной может быть и правительственное агентство). "На случай необходимости восстановления ключа, - говорит Пауэр, - компания определяет группу своих доверенных сотрудников, которые могут потребовать предоставления им личного ключа в соответствии с внутрикорпоративной политикой".

Компаниям следует разработать правила, определяющие, при каких условиях уполномоченные лица могут получить доступ к личному ключу пользователя. Компания Security Dynamics, приобретшая в 1996 году пионера криптографии - RSA Data Security, - включила технологию восстановления ключей в совместно разработанный продукт под названием SecurPC. С его помощью пользователи могут зашифровать файлы в своих настольных системах, а при выполнении определенных условий компания может восстановить используемые для шифрования личные ключи.

Entrust Technologies поддерживает также резервирование и восстановление ключей и, как и Security Dynamics, подчеркивает, что это не то же самое, что предлагает правительство. "В организациях дублирование используемых для шифрования пар ключей просто необходимо. Если сотрудник компании теряет пароль, то он не должен терять при этом и всю остальную информацию; если кто-либо увольняется, то опять же компания не должна терять всю подведомственную данному человеку информацию", - говорит Курри.

Далее он добавляет, что наряду с парой ключей шифрования пользователи должны в идеале иметь вторую пару ключей для цифровой подписи зашифрованных сообщений и файлов. Цифровая подпись с генерацией хеш-кода, шифруемого с помощью личного ключа из второй пары, фиксирует авторство. Если шифрование делает текст нечитаемым для всех, за исключением лица или лиц, имеющих соответствующий ключ шифрования, то цифровая подпись, добавленная к шифруемому тексту, не позволяет отправителю сообщения отказаться от своего авторства.

ПОЛУЧЕНИЕ СЕРТИФИКАТА

Управление ключами не может быть отделено от инфраструктуры поддержки открытых ключей во многом потому же, почему пары ключей не обеспечивают сами по себе достаточного уровня защиты. С технической точки зрения пары открытых ключей могут использоваться сами по себе, но в большинстве случаев их применение ограничивается обменом электронной почтой между людьми, доверяющими друг другу.

Согласно мнению абсолютного большинства игроков на рынке, при развертывании технологии шифрования с открытыми ключами на корпоративном уровне без цифровых сертификатов обойтись невозможно. "Когда люди говорят, что они используют открытые и личные ключи без сертификатов, это свидетельствует об их недостаточно серьезном отношении к делу, - говорит Курри. - Они могут отправлять электронную почту своим друзьям, но в другой ситуации, даже при отправке почты в пределах своей собственной компании, использование ключей без сертификатов не срабатывает".

Ввиду необходимости сертификатов, подтверждающих личность держателя открытого ключа, управление сертификатами является неотъемлемой частью любой инфраструктуры с открытыми ключами. Во многом аналогично независимому уполномоченному по выдаче сертификатов, внутренняя система управления сертификатами выдает сертификаты на открытые ключи, проверяя вначале личность конечного пользователя. Реализация такой системы не столь сложна, как это может показаться (о необходимости собственного уполномоченного по выдаче сертификатов см. во врезке "Сам себе уполномоченный по выдаче сертификатов?").

Сегодня многие компании уже имеют системы регистрации и учета сотрудников. Как правило, такие системы находятся в ведении отдела кадров и содержат личную информацию о сотруднике, зафиксированную в страховом полисе, паспорте или свидетельстве о рождении. В основном информация такого рода предоставляется кандидатом еще до поступления на работу; и только после ее проверки сотрудник получает пропуск на работу. Эта база данных о сотрудниках может быть интегрирована с системой управления сертификатами с помощью ОDВС или в LDAP-совместимую сетевую службу каталогов, чтобы информацию не приходилось вводить многократно.

"В случае внутреннего уполномоченного ассоциировать пользовательскую базу данных с базой данной о сотрудниках и обеспечить процесс проверки личности подотделом внутри отдела кадров довольно просто, - говорит Рей Лэнгфорд, директор по исследованию и разработкам в Frontier Technologies. - В случае же независимого уполномоченного по выдаче сертификатов такой процесс невозможен, если только вы не выполняете часть работы сами". Семейство продуктов e-Lock компании Frontier содержит компоненты для обработки цифровой подписи, Secure MIME (S/MIME) и управления сертификатами. Согласно Frontier, ее подсистема управления сертификатами e-Cert имеет возможность связываться с базами данных, поддерживающими LDAP и ODBC, благодаря чему информация о сотрудниках может совместно использоваться несколькими системами.

Если инфраструктура открытых ключей позволяет отменять и восстанавливать открытые ключи, то система управления сертификатами должна позволять компаниям хранить действительные сертификаты и аннулировать недействительные. Entrust Technologies называет этот процесс управлением жизненным циклом ключей. Жизненный цикл ключа должен иметь фиксированную продолжительность от момента его генерации до его аннулирования. В этом промежутке открытый ключ должен получить соответствующий сертификат, а пользователи - иметь доступ к открытым ключам других пользователей и уверенность, что ключи аутентичны (см. Рисунок 1).

Picture_1(1x1)

Рисунок 1.
Entrust Technologies описывает таким образом процесс управления криптографическими ключами и сертификатами. Для наилучшей защиты все ключи должны иметь предопределенный срок жизни.

Entrust одной из первых предложила единую инфраструктуру защиты информации для компаний. Ее инфраструктура имеет три основных компонента. Entrust/Manager выпускает сертификаты открытых ключей, обновляет ключи и ведет список аннулированных сертификатов (Certificate Revocation List, CRL), т. е. список сертификатов, признанных недействительными до истечения их срока годности. Каталожный компонент служит хранилищем для сертификатов открытых ключей пользователей. Любой пользователь может обратиться к нему и зашифровать сообщение для конкретного лица. Наконец, Entrust/Admin выполняет административные функции.

Security Dynamics планирует интегрировать технологию открытых ключей, в том числе управление сертификатами, в свою архитектуру Enterprise Security Services (ESS). В июле 1997 года она приобрела шведскую компанию Dynasoft, чей продукт Boks имеет средства управления сертификатами. Кроме того, Security Dynamics заключила недавно соглашение с Verisign об использовании технологии сертификатов, в том числе возможность аннулирования и хранения сертификатов в рамках ESS.

Эффективное решение по управлению сертификатами должно также предусматривать способ ведения списка аннулированных сертификатов - он пригодится в случае, когда сотрудник увольняется из компании. Эксперты по защите информации скажут вам, что недавно уволившиеся сотрудники представляют одну из серьезнейших угроз любой сети. Политика защиты информации должна четко описывать, что делать в случае, если какой-либо сотрудник, по своей ли воле или по воле руководства, берет расчет. Одной из насущнейших мер является немедленное перекрытие доступа к сетевым ресурсам. Этот процесс может входить составной частью в другие стандартные процедуры, например осуществляться при изъятии пропуска.

При наличии доступа к списку аннулированных сертификатов, сотрудники, получая сертификат открытого ключа другого сотрудника, могут проверить, что сертификат еще действителен.

Последним элементом инфраструктуры с открытыми ключами должен быть какой-либо компонент на стороне клиента. Это может быть набор API, с помощью которого приложения поддерживают управление ключами и сертификатами. Entrust сделала открытыми несколько компонентов, благодаря чему функции управления жизненным циклом ключей могут быть доступны таким приложениям, как электронная почта, электронные формы и электронный обмен данными.

Только когда все необходимые компоненты имеются в наличии и интегрированы в единую систему, компании получат надежные и эффективные средства выпуска сертификатов таким образом, чтобы это не было обременительно ни для пользователей, ни для администратора.

ПОУЧИТЕЛЬНЫЙ ПРИМЕР

Еще до того, как предложить концепцию инфраструктуры с открытыми ключами начальнику информационного отдела или другому должностному лицу, сетевой администратор или ответственный за защиту информации должен не только разбираться в предлагаемой технологии, но и знать, насколько она соответствует деловым процедурам компании и какие проблемы ей придется решать. Проще говоря, все упирается в выбор метода контроля доступа к сети. Помимо открытых ключей это можно сделать и другими средствами; какой метод выбрать, зависит от того, что необходимо вашей компании.

"Большинство компаний пока только оценивают возможность внедрения шифрования с открытыми ключами в сети", - говорит Пауэр из Security Dynamics. "Защищенную информационную среду на базе технологии с открытыми/личными ключами невозможно создать за ночь", - подчеркивает он. Согласно его прогнозам, широкомасштабный переход к технологии с открытыми ключами будет происходить в течение пяти ближайших лет. В 1998 г. специалисты начнут приглядываться к технологии, в 1999 г. первые приверженцы возьмутся за ее внедрение, а ближе к 2000 г. технология станет доступна широким массам.

Продукты, способные помочь в создании уполномоченных по выдаче сертификатов и других компонентов инфраструктуры с открытыми ключами, уже имеются на рынке. Однако, отчасти из-за недостатка знаний о технологии, отчасти из-за высоких цен, многие малые и средние компании будут вынуждены переждать год-другой, чтобы посмотреть, в какую сторону пойдет развитие технологии. Но так как технология еще только становится на ноги, период ожидания - хорошее время, чтобы посмотреть, что случится.


Анита Карве - помощник редактора Network Magazine. С ней можно связаться по адресу: akarve@mfi.com.

КТО ДОЛЖЕН БЫТЬ УПОЛНОМОЧЕННЫМ ПО ВЫДАЧЕ СЕРТИФИКАТОВ

Сам себе уполномоченный по выдаче сертификатов?

Цифровые сертификаты, связанные с открытыми ключами, позволяют проверить, действительно ли конкретный открытый ключ принадлежит данному лицу. Поначалу эти сертификаты поддерживались третьими лицами, чьи системы выполняли роль общественного нотариуса в электронном мире. За определенную плату уполномоченные по выдаче сертификатов проверяли личность пользователя и затем выпускали сертификат, содержащий открытый ключ пользователя вместе с дополнительной информацией, удостоверяющей подлинность сертификата.

Но с началом использования компаниями шифрования с открытыми ключами в качестве основы для общекорпоративной инфраструктуры защиты информации такие сертификаты оказываются чересчур дорогим удовольствием. Один сертификат на браузер Web от компании Verisign может стоить 10-20 долларов в год. Умножьте эту цифру на число пользователей, и вы поймете, насколько это дорого.

Побудительные мотивы к выполнению функций уполномоченного по выдаче сертификатов внутри компании вполне ясны, но бытует мнение, что быть своим собственным уполномоченным по выдаче сертификатов - занятие не для слабонервных. "Программное обеспечение управления выдачей сертификатов достаточно мощно, чтобы компании могли стать своими собственными уполномоченными, но стоит ли это делать, решить достаточно непросто, поскольку многие компании не имеют на то компетентных кадров, - считает Алекс ван Сомерен, президент и исполнительный директор nCipher. - Однако крупные организации быстро поймут, что быть своим собственным уполномоченным гораздо эффективнее, чем платить за это другим".

"Экономическая целесообразность и гибкость являются основными причинами сохранения функций уполномоченного внутри компании", - говорит Рей Лэнгфорд, директор по исследованиям и разработкам в Frontier Technologies. "Уполномоченные по выдаче сертификатов берут несколько долларов за один слабо защищенный сертификат, причем какую-то сумму вам придется платить ежегодно сверх начальной, - объясняет он. - Если вы можете себе позволить купить программное обеспечение управления выдачей сертификатов за 1000 долларов без оплаты за каждый выданный сертификат, то получите не только контроль за стоимостью в расчете на клиента, но и гибкость в создании уполномоченных".

Независимые уполномоченные, такие как Verisign и GTE Cybertrust, не только выпускают индивидуальные сертификаты, но и продают полную систему для самостоятельного выпуска, аннулирования и обновления сертификатов. При желании вы можете обратиться к другим поставщикам - Entrust Technologies, Frontier Technologies, XCert, Microsoft и Netscape.