PKI - инфраструктура защиты следующего поколения

Рынок PKI пока находится в зачаточном состоянии, но эта инфраструктура с открытыми ключами приобретает все большее значение для самых разных приложений — от VPN и электронной коммерции до удаленного доступа и идентификации.

Сказать, что сетевая отрасль богата громкими лозунгами, будет большим преуменьшением. Термины типа «виртуальные частные сети», «управление с помощью правил», «коммутаторы третьего уровня», Extranet у всех на слуху, но, чтобы понять, как эти технологии работают и что они могут предложить, вы должны приложить некоторые усилия.

Последнее справедливо и для инфраструктуры с открытыми ключами (Public Key Infrastructure, PKI). На сегодня это один из самых популярных терминов в области защиты сетей, но если вы спросите десять администраторов, что она собой представляет, то получите по крайней мере восемь разных ответов.

В чем все они будут единодушны — так это в возрастании важности PKI для корпоративной среды. Функции защиты PKI становятся необходимыми с реализацией компаниями защищенного обмена сообщениями, электронной коммерции, виртуальных частных сетей и даже однократной регистрации. А с повышением критичности этих приложений для ведения бизнеса важность PKI возрастает соответственно. Несмотря на это PKI не получила пока широкого распространения из-за незнания корпоративными пользователями ее компонентов и архитектуры, сложности и дороговизны реализации и незрелости отраслевых стандартов.

Но даже при множестве вопросительных знаков относительно технологии и ее стоимости вы можете тем не менее или сами построить систему PKI, или нанять кого-либо для решения этой задачи. Варианты есть, и увеличивается не только их число, но и разнообразие.

СМОТР СТАНДАРТОВ

Стоимость и сложность являются, вероятно, двумя главными причинами, почему PKI еще не стала неотъемлемой технологией в корпоративных сетях, но проблема стандартов, многих из которых пока еще нет, а другие — не готовы, вызывает у производителей куда большую озабоченность.

Стандарт на формат цифровых сертификатов X.509 получил широкое признание как у уполномоченных по выдаче сертификатов, так и у корпоративных пользователей. IETF в рамках рабочей группы по инфраструктуре с открытыми ключами (Public Key Infrastructure Working Group, PKIX) продолжает разработки в таких областях, как отзыв сертификатов, взаимная сертификация и управление сертификатами, но к чему-то определенному она пока не пришла.

Некоторые производители являются ярыми сторонниками предложения по стандарту Internet под названием «Протокол управления сертификатами для инфраструктуры с открытыми ключами» (Public Key Infrastructure Certificate Management Protocol). Другие поддерживают иное предложение — сообщения управления сертификатами на основе синтаксиса криптографических сообщений (Certificate Management Messages over Cryptographic Message Syntax), — выдвинутое рабочей группой Secure/MIME.

Несколько больше единодушия относительно стандартов на извлечение хранимых цифровых сертификатов. Все соглашаются с тем, что упрощенный протокол доступа к каталогу (Lightweight Directory Access Protocol, LDAP) наиболее адекватен в качестве стандарта для сохранения и извлечения сертификатов после их генерации. LDAP поддерживается большинством серверных операционных систем и баз данных и достаточно открыт для того, чтобы его могли поддерживать практически любые инфраструктуры с открытыми ключами.

Другими спорными моментами являются прямая проверка сертификатов, списки аннулированных сертификатов (Certificate Revocation List, CRL) и взаимная сертификация. Что касается прямой проверки, то рабочая группа PKIX опубликовала предложение под названием «Протокол оперативного определения статуса сертификата» (Online Certificate Status Protocol, OCSP), где описывается, как системы на базе X.509 могут проверить подлинность представленных сертификатов при финансовых транзакциях и других схожих операциях.

Все больше сторонников приобретают так называемые дельта-списки аннулированных сертификатов, где указываются только изменения в CRL, благодаря чему публиковать полный список каждый раз при отзыве или истечении срока действия сертификата не нужно, а, кроме того, обновление списка может производиться более часто, так как эта процедура занимает меньше времени.

Другая темная область — взаимная сертификация, т. е. признание сертификатов компании или уполномоченного А другой компанией или уполномоченным Б. (На момент написания статьи никакого предложения по стандарту на взаимную сертификацию еще не было опубликовано.)

Одна весьма любопытная разработка в области стандартов PKI появилась осенью прошлого года. Стремясь ускорить процесс стандартизации, IBM вместе с ее дочерней компанией Lotus Development раскрыли для широкой публики исходный код своего проекта Jonah.

Jonah — это попытка создания эталонной реализации PKI на базе предложений PKIX для таких продуктов IBM и Lotus, как Notes, Domino, Global Sign-On, а также для управления от Tivoli. IBM и Lotus выбрали несколько ключевых компонентов PKIX и опубликовали код, который разработчики могут использовать без каких-либо лицензионных отчислений. Компании надеются, что благодаря такой модели разработки стандарты PKIX будут развиваться быстрее и найдут применение в самых разных приложениях.

СДЕЛАЙ САМ

PKI представляет собой фундаментальную составляющую корпоративной архитектуры защиты, поэтому крупные компании с достаточными финансовыми и техническими ресурсами, скорее всего, предпочтут создавать свои собственные системы. Первыми адептами полномасштабной реализации PKI оказались представители финансового мира. Это, как правило, те же фирмы, что первыми стали заниматься электронной коммерцией. С внедрением инфраструктуры с открытыми ключами в банках и других финансовых институтах приглядываться к PKI начинают и компании из остальных секторов промышленности.

Благодаря своему раннему выходу на этот рынок Entrust Technologies является, возможно, наиболее известным производителем в мире PKI. В течение последних нескольких лет компания постепенно обзаводилась клиентурой, и, по отчетам за четвертый квартал 1998 года, она приобрела 150 новых корпоративных клиентов, в результате чего их общее число достигло 780. Кроме того, Entrust сообщает об увеличении оборота на 88% по сравнению с четвертым кварталом 1997 года.

Основным предложением компании в области PKI является комплект продуктов под названием Entrust/PKI. С его помощью компании могут выступать в качестве своих собственных уполномоченных по выдаче сертификатов (Certificate Authority, CA). Однако он предоставляет и другие функции, необходимые для создания PKI.

Один из главных компонентов архитектуры PKI в исполнении Entrust — Entrust/Authority для выдачи X.509-совместимых цифровых сертификатов, создания пар ключей и управления этими ключами и сертификатами. Кроме того, он поддерживает взаимную сертификацию с продуктами для уполномоченных от других производителей; с помощью данной функции компания может проверить подлинность сертификатов других производителей.

Entrust/PKI содержит также программное обеспечение Entrust Entelligence. Оно позволяет с помощью Entrust/Authority предоставлять пользователям такие услуги PKI, как однократная защищенная регистрация в Entrust-совместимых приложениях и централизованный доступ к опциям Entrust. Этот компонент работает с Windows Explorer и обеспечивает однократную регистрацию во всех приложениях, поддерживающих Entrust/PKI.

Управление всей инфраструктурой PKI осуществляется посредством Entrust/Admin, с помощью которого администратор может добавлять и удалять пользователей, восстанавливать утерянные ключи и аннулировать сертификаты.

В качестве дополнения к своему предложению Entrust поставляет инструментальный комплект, с помощью которого разработчики могут встраивать функции защиты в различные приложения.

Кроме Entrust несколько продуктов PKI для применения внутри компании, которые крупные корпоративные заказчики могут использовать для работы с сертификатами, предлагает Xcert.

SentryCA выпускает цифровые сертификаты и управляет ими, а также поддерживает широкий спектр приложений, включая Netscape Communicator, Microsoft Internet Explorer и Outlook Express, Lotus Domino и World Secure компании WorldTalk.

Кроме того, Xcert поставляет SentryRA (уполномоченный по регистрации). Совместно с SentryCA он позволяет обрабатывать большой объем запросов о сертификатах. Система осуществляет проверку, выпуск и отзыв сертификатов.

Наконец, компании предлагают прикладные интерфейсы программирования, с помощью которых программисты могут встраивать функции PKI в приложения разных типов, включая брандмауэры, браузеры, электронную почту и программное обеспечение для рабочих групп. Xcert Development Kit может использоваться для интеграции поддержки открытых ключей, извлечения сертификатов и CRL и проверки сертификатов в названные виды приложений, так что компании могут выбирать функции PKI, которые им необходимы.

Кроме того, технологии PKI реализует CyberTrust Solutions от GTE Internetworking. Компания сделала себе имя в мире защиты как независимый доверенный уполномоченный по выдаче сертификатов вместе с открытыми ключами. GTE Internetworking известна также благодаря многим другим услугам, в том числе коммутируемому доступу, управляемой защите Internet, размещению информационного наполнения Web и дизайну узлов Web.

Компания поставляет несколько продуктов для тех фирм, которые хотят стать своими собственными уполномоченными по выдаче сертификатов и создать свою собственную инфраструктуру с открытыми ключами. CyberTrust Global Provider CA предназначен для транснациональных компаний, стремящихся приобрести технологию и стать независимыми уполномоченными, а CyberTrust Enterprise CA — для корпораций, желающих иметь технологию управления сертификатами и пользоваться ею внутри компании. Наконец, CyberTrust CA позволяет управлять небольшой системой PKI с клиентской настольной системы.

Компания предлагает также Enterprise Access 2.1, продукт для Windows NT и Solaris с богатыми административными возможностями в области PKI. Этот продукт с поддержкой LDAP обеспечивает контроль доступа в соответствии с предопределенной политикой в области защиты для сред, где используются цифровые сертификаты. Продукт состоит из двух компонентов: во-первых, Enterprise Access Manager поддерживает управление правилами, несколько доменов защиты, аудит и интерактивную документацию; во-вторых, Enterprise Access Enforcer обеспечивает обработку аннулированных сертификатов, аудит и набор API, с помощью которых приложения и базы данных могут использовать содержащуюся в сертификатах информацию.

Кроме того, в январе 1999 года на конференции RSA компания представила CyberTrust Accelerator для настольных приложений. С помощью этой программы компании могут быстро и надежно защитить имеющиеся приложения, такие, как электронная почта, электронные формы и доступ в Web с использованием технологией PKI, в частности цифровых сертификатов.

Baltimore Technologies известна своими работами в области алгоритмов шифрования и защищенного обмена сообщениями, но она предлагает и продукты для PKI. UniCert (в настоящее время в версии 2.4) представляет собой платформу для выдачи сертификатов, где сконцентрировано определение и управление политикой PKI. Продукт состоит из ряда подключаемых модулей, устанавливаемых по мере необходимости.

Кроме того, компания предлагает PKI Plus, комплект инструментов для внедрения средств шифрования и цифровых подписей в имеющуюся сеть IP.

На упомянутой конференции RSA компания Security Dynamics и ее филиал, RSA Data Security, объявили о своем выходе на рынок PKI.

В течение 1999 года эти компании собираются представить компоненты своего семейства продуктов Keon для обеспечения функций шифрования, защиты и обслуживания сертификатов. Семейство будет состоять из сервера сертификатов (он может встраиваться в существующие приложения), корпоративной PKI и сервера защиты для масштабируемой защищенной однократной регистрации.

Продукты и комплекты инструментов для PKI служат исходной точкой для большинства заинтересованных в технологии компаний, но часто они требуют значительных усилий со стороны разработчиков для включения в приложения поддержки сертификатов и шифрования. Это связано с тем, что практически ни одно приложение не поставляется готовым для PKI.

Молодая компания Shym Technology обратила внимание на это затруднение и предприняла шаги для облегчения и удешевления создания PKI. Семейство продуктов PKEnable позволяет внедрять защиту PKI в имеющиеся приложения без трудоемкой и длительной интеграции.

Shym делает это посредством «закулисного» подключения приложений к основным сервисам PKI. В настоящее время пакет Shym поддерживает технологии PKI от VeriSign и Entrust, но компания надеется расширить данный список. Этот пакет позволяет сэкономить на расходах на разработку и упростить внедрение поддержки технологий PKI в существующие приложения.

СТОРОННИЕ УСЛУГИ

Малые компании, а также те, у кого нет знаний или времени для создания полномасштабной системы PKI собственными силами, имеют тем не менее возможность воспользоваться преимуществами этой технологии. Несколько обслуживающих данный сегмент рынка организаций получили известность благодаря выдаче сертификатов частным лицам и небольшим компаниям.

Несмотря на всю привлекательность обращения к сторонним услугам в случае такой сложной технологии, как PKI, некоторые компании предпочитают промежуточный подход, а именно: они покупают необходимые продукты и нанимают консультантов для их внедрения. (Дополнительную информацию о профессиональных услугах, предлагаемых производителями PKI, вы можете найти во врезке «К вашим услугам».)

Обращение к сторонним организациям является весьма распространенной практикой в случае таких специализированных приложений, как электронная коммерция, размещение информационного наполнения Web и даже VPN, но, когда дело касается всеобъемлющей архитектуры защиты, компании зачастую не решаются доверить ее создание кому-либо со стороны.

VeriSign, бесспорный лидер среди независимых уполномоченных по выдаче сертификатов, имеет богатый опыт по выдаче цифровых сертификатов частным лицам и корпоративным серверам Web. Большинство браузеров Web принимают выданные VeriSign сертификаты, даже если они представлены неизвестным сервером Web, и это доверие к компании позволяет ей сохранять лидерство среди независимых уполномоченных.

В октябре 1998 г. VeriSign выпустила OnSite 4.0, интегрированную платформу PKI для администрирования сертификатов, управления и восстановления ключей и поддержки приложений других компаний. В отличие от подхода «сделай сам» VeriSign предлагает свои услуги PKI вместе с возможностью для компаний доступа к их данным.

Вместо приобретения специальных систем и найма соответствующих специалистов компании могут подключиться к одному из центров обработки данных VeriSign, а он уже возьмет на себя заботу о поддержке клиентов, восстановлении ключей, обработке сертификатов и резервном копировании информации. По сути, пользователи OnSite берут на себя настройку и повседневные административные задачи, а VeriSign гарантирует защиту, круглосуточный доступ и необходимые знания для того, чтобы все работало как часы.

В 1998 году VeriSign объявила о своем союзе с Netscape Communications, результатом которого должна стать более тесная интеграция OnSite от VeriSign с Certificate Management System от Netscape (последняя выдает и аннулирует сертификаты, а также управляет ими). Компании могут купить и установить у себя продукт Netscape, но пользоваться при этом услугами VeriSign для ручательства за сертификаты.

Компания Thawte Certification также сделала себе имя в качестве независимого уполномоченного по выдаче сертификатов. В январе 1999 года компания представила свой комплект продуктов и услуг Enterprise PKI Platform, с помощью которого организации могут создавать и настраивать PKI, причем им не надо делать все собственными силами. Вместо этого они могут воспользоваться Managed CA Service — общим интерфейсом управления и доступа к услугам PKI. Благодаря Managed CA Service компании сохраняют контроль над сертификатами, которые Thawte выдает ее партнерам и клиентам.

Thawte предлагает также Chained CA Service, с помощью которого компания может удостоверить внутренних корпоративных CA. В результате сертификатам компании могут доверять те, кто признает сертификаты Thawte. Кроме того, платные услуги по управлению ключами и сертификатами предоставляет Equifax, главным образом для приложений электронной коммерции. Компания использует технологию Vault Registry от IBM и предлагает создание и распределение ключей, выпуск, хранение, извлечение, обновление и аннулирование сертификатов, восстановление ключей и взаимную сертификацию.

ЗАЩИТА НА УРОВНЕ ОС

Недавней и весьма любопытной разработкой на рынке PKI является интеграция функции PKI в серверные операционные системы. PKI охватывает ряд компонентов сети, включая серверы и каталоги, так что встраивание ее функций непосредственно в ОС представляется вполне разумным.

Это движение возглавляет Novell со своими Public Key Infrastructure Services (PKIS) 1.0, поставляемыми с NetWare 5. PKIS позволяют использовать цифровые сертификаты и шифрование с открытыми ключами внутри сети на базе NDS. Немало компаний опираются на NDS в деле управления информацией о пользователях, поэтому внедрение функций PKI оправдано, если компании хотят продолжать применять имеющиеся продукты.

Управление сертификатами осуществляется с помощью утилиты NWAdmin в составе NetWare. Она обеспечивает единую точку администрирования открытых ключей и сертификатов.

PKIS поддерживает внутренних CA и может передавать выданные внутри компании сертификаты третьим лицам, например VeriSign или GTE Cybertrust, для получения дополнительной подписи, но вместе с тем возможности продукта позволяют обойтись без участия независимых уполномоченных. Компании могут воспользоваться Certificate Management System от Netscape и интегрировать ее возможности генерации ключей в NDS.

Пары открытых и личных ключей могут быть сгенерированы на сервере NetWare, который передаст ключи PKIS. Затем PKIS получат необходимый сертификат от внутреннего или внешнего уполномоченного. Они обеспечивают также хранение ключей и сертификатов с помощью NDS, защищенное управление личными ключами и обновление сертификатов.

При приближении окончания предопределенного срока действия сертификата администратор с помощью PKIS может проверить атрибуты сертификата и изменить любые параметры. Кроме того, он может создать совершенно новый сертификат с использованием нового ключа.

Novell также заявила о том, что она работает над поддержкой цифровых подписей для того, чтобы ни одна из сторон не могла впоследствии отрицать своего участия в электронных коммуникациях. Кроме того, компания планирует поддерживать различные классы сертификатов во многом аналогично тому, как поступала с самого начала VeriSign: каждый сертификат получает определенную степень доверия в зависимости от класса, к которому он принадлежит.

Как можно ожидать, главный соперник Novell на рынке сетевых ОС, Microsoft, также занимается PKI. Microsoft уже включила интегрированные услуги PKI в сервисный пакет для Exchange 5.5, модернизирующий серверный компонент управления ключами этого популярного программного обеспечения обмена сообщениями. Данный сервер управления ключами совместим с Certificate Server самой Microsoft, а последний, как известно, является дополнением к Windows NT и Microsoft Internet Information Server 4.0 и выпускает, обновляет и аннулирует цифровые сертификаты X.509 без участия какого-либо внешнего уполномоченного.

Следующий логический шаг состоит в интеграции возможностей PKI в Windows 2000 (новое имя для Windows NT), появление которой ожидается в конце 1999 года. Microsoft объявила о своих планах интегрировать Certificate Server с Active Directory к тому же сроку.

Не желая оставаться в стороне, Sun Microsystems заявила, что она намеревается внедрить поддержку сервисов PKI в свою операционную систему Solaris к середине 1999 года. Sun планирует предоставить пользователям возможность создавать открытые ключи и облегчить реализацию PKI. Благодаря поддержке LDAP продукты для PKI независимых поставщиков могут быть интегрированы в Solaris. Кроме того, PKI в Solaris будет поддерживать смарт-карты для идентификации.

Встроенная поддержка PKI в некоторых из наиболее популярных операционных систем может заставить признанных производителей продуктов для PKI оглядываться назад, но также способна привести к лучшему пониманию технологии и подтолкнуть развитие рынка.

КОМУ ВЫ ДОВЕРЯЕТЕ?

С ростом потребности в защищенных приложениях и электронных транзакциях компании начнут осознавать, что инфраструктура с открытыми ключами представляет собой архитектуру, с помощью которой они смогут получить все — от защищенной электронной регистрации внутри компании до неуязвимых сервисов электронной почты и Web.

Незрелость стандартов и высокая стоимость и сложность реализации сдерживали дальнейшее развитие PKI, но усилия производителей по упрощению технологии и внедрению ее в самые разнообразные продукты свидетельствуют о скором изменении ситуации.

К вашим услугам

Все необходимые компоненты для построения инфраструктуры с открытыми ключами внутри компании может предоставить целый ряд поставщиков. Но если у вас нет времени, денег или опыта на сборку системы — а она подразумевает обычно и привязку таких приложений, как электронная почта и серверы базы данных, к компонентам выдачи и управления сертификатами, то потребуется чья-то помощь в этом деле.

Но вместо того, чтобы отдавать на сторону весь проект, компании могут обратиться к профессиональным услугам многих поставщиков PKI, когда они хотят сохранить контроль над своей PKI.

Entrust InSource от Entrust Technologies представляет собой программу профессиональных услуг, которыми клиенты Entrust могут воспользоваться, когда им необходима помощь при реализации PKI. В рамках данной программы клиенты сохраняют контроль, но получают помощь во всем, начиная от разработки политики защиты и планирования системы до реализации программного и аппаратного обеспечения. Эти услуги включают организацию справочной службы и восстановление пользовательских бюджетов внутри системы PKI.

Следуя в том же русле, в январе 1999 года Entrust объявила о программе подготовки консультантов в области сертификатов. Пятидневные курсы на базе GeoTrain и Cognimax Technologies охватывают основы технологии PKI, а также специфические особенности продуктов Entrust. Вслед за этой программой Entrust планирует организовать курсы для администраторов.

Xcert также предлагает профессиональные услуги по внедрению PKI для тех организаций, специалисты которых не имеют достаточных знаний в этой области. Компания предлагает разработку архитектуры PKI, установку и настройку продуктов Xcert, разработку политики в отношении PKI, обучение, аудит защиты и оценку рисков.

CyberTrust от GTE Internetworking предусматривает несколько типов услуг. Помимо предложения услуг уполномоченного по выдаче сертификатов компания предлагает профессиональные услуги компаниям, которым необходима поддержка в области защиты, в частности для систем электронных платежей.

Baltimore Technologies предлагает услуги разработки PKI на базе своего продукта UniCert CA. Кроме того, CertCo помогает финансовым институтам в создании электронных систем идентификации с помощью технологий PKI и предоставляет им такие услуги, как организация защиты систем компании и внедрение средств шифрования.

Рассматриваемые продукты

Ресурсы Internet

Хорошей исходной точкой для поиска информации о PKI, в том числе о стандартах, производителях и теоретических исследованиях, может служить http://www.magnet.state.ma.us/itd/legal/pki.htm.

Более подробную информацию о различных стандартах PKI, таких, как управление сертификатами X.509 и др., можно найти на странице IETF, посвященной PKI, по адресу: http://www.ietf.org/html.charters/pkix-charter.html.

Разнообразные статьи по таким темам, как аннулирование сертификатов, обращение к сторонним услугам или реализация собственными силами, можно найти на http://www.entrust.com/resources/whitepaper.htm.

Пример построения PKI имеется на http://www.gosci.com/crypto.htm.