Основы PKI

Концепция инфраструктуры открытого ключа (PKI — public-key infrastructure) относительно проста, но ее реализация в корпоративной сети может оказаться сложным и крайне запутанным делом.

Основная идея концепции инфраструктуры открытого ключа (PKI — public-key infrastructure) состоит в том, что критически важные данные защищаются посредством шифрования. Каждое устройство конечных пользователей снабжено программным обеспечением шифрования и двумя ключами: открытым ключом, который передается другим пользователям, и частным ключом, который хранится у его владельца.

Пользователь зашифровывает сообщение, используя открытый ключ получателя. После получения сообщения пользователь расшифровывает его с помощью своего частного ключа. Пользователи могут иметь несколько пар ключей для связи с различными группами респондентов.

Учитывая, что таких пар ключей используется довольно много, особую важность приобретают методы администрирования ключей и контроля их применения. Именно эту роль выполняет инфраструктура открытого ключа, позволяя централизовать создание, распространение, контроль и аннулирование ключей.

Все начинается с аутентификации

Первый шаг к созданию инфраструктуры открытого ключа состоит в формировании системы аутентификации, так чтобы можно было проверять, не выдают ли пользователи себя за других людей, прежде чем наделять их теми или иными правами работы в сети.

Одним из методов аутентификации является регистрация на базе паролей, но применение цифровых сертификатов — более надежное решение. Каждый сертификат содержит конкретную идентификационную информацию о пользователе, в том числе его имя, открытый ключ и уникальную цифровую подпись, которая закрепляет сертификат за пользователем.

Чтобы получить сертификат, пользователь посылает запрос назначенному уполномоченному по регистрации, который проверяет личность пользователя и сообщает уполномоченному по выдаче сертификатов о необходимости выпустить сертификат.

Сам по себе сертификат — цифровой документ, который обычно хранится и администрируется посредством некоего централизованного каталога. У пользователей, работающих дома, сертификат может храниться в их системе. В любом случае по мере необходимости сертификат передается автоматически, не прерывая работы пользователя.

Уполномоченный по выдаче сертификатов проверяет подлинность сертификата получателя. И опять-таки для пользователя это обычно происходит незаметно.

Конечно, сертификаты имеют ограниченный срок действия. При выпуске каждого сертификата определяется срок его действия, и иногда возникает необходимость аннулировать сертификат до наступления указанной даты, например в том случае, если служащий увольняется. Уполномоченный по выдаче сертификатов может аннулировать сертификат до окончания срока его действия, занеся его в регулярно публикуемый список аннулированных сертификатов.

Учитывая, что используются пары ключей, необходимо координировать выпуск и аннулирование сертификатов. В этом состоит еще одна функция PKI, которая действует как сложная структура, включающая в себя управление ключами, уполномоченного по регистрации и уполномоченного по выдаче сертификатов, а также различные наборы инструментальных средств администрирования.

Есть несколько вариантов программного обеспечения инфраструктуры открытого ключа — его предлагает несколько производителей. Например, решения для поддержки PKI выпускают такие компании, как Entrust Technologies, Baltimore Technologies, RSA Security и VeriSign. В любом случае потребуется инструментарий для регистрации и выдачи сертификатов, управления ключами и сертификатами, а также для резервного копирования и восстановления ключей.

PKI требует использования центрального каталога

В общем случае центральный каталог реализуется как часть инфраструктуры открытого ключа, как место для хранения и контроля сертификатов и другой необходимой для работы информации. Возможно, каталог для поддержки уже имеющихся приложений, таких как система электронной почты, уже существует. Если каталог поддерживает протоколы LDAP или X.500, скорее всего его можно будет использовать и при реализации PKI.

Однако службы каталогов не всегда корректно взаимодействуют друг с другом и могут свести на нет все попытки создать инфраструктуру открытого ключа, если предполагается помимо PKI использовать этот каталог для поддержки разнородных клиентских приложений. Недостаточная интероперабельность каталогов заставило производителей организовать Directory Interoperability Forum, призванный решить этот назревший вопрос.

Еще одна составляющая инфраструктуры открытого ключа — политика работы с сертификатами, которая определяет правила использования PKI и сертификационных услуг. К примеру, если пользователь по ошибке отослал получателю частный ключ, в соответствии с правилами ему может быть предписано сообщить об этом специалистам по защите или уполномоченному по выдаче сертификатов.

Априорное определение правил поведения в случае наступления того или иного события является критически важным для работы PKI и описывается посредством правил работы с сертификатами (certificate practice statement — CPS). Такие правила обычно формируются после консультаций со специалистами по информационным технологиям, различными группами пользователей и юристами.

В правилах работы с сертификатами подробно разъясняется, как уполномоченный по выдаче сертификатов управляет сертификатами, которые он выпускает, а также связанными с ними службами, такими как управление ключами. Кроме того, CPS действует как контракт между уполномоченным по выдаче сертификатов и пользователями, где описаны обязательства и юридические ограничения, а также предусмотрена основа для будущих проверок. Производители PKI могут предоставить вам образец CPS, который можно доработать.

Как и в случае с любой другой информационной инфраструктурой, специалистам, которые ее обслуживают, необходимо установить, администрировать, исправлять и управлять PKI. Поиск таких сотрудников крайне важен и может оказаться делом непростым, учитывая, что спрос на компетентных специалистов по поддержке инфраструктуры открытого ключа в ближайшей перспективе, скорее всего, будет превышать предложение.

Для начала необходимо привлечь к этой деятельности руководителя службы безопасности, который будет отвечать за внедрение и администрирование политики защиты компании. Этот человек может не быть специалистом по информационным технологиям, но он должен понимать их проблемы, и, вероятно, ему потребуется некоторое подтверждение его полномочий.

Далее следует назначить главного конструктора PKI, который будет проверять требования и архитектуру вашей инфраструктуры открытого ключа. Этот человек может также выступать в роли менеджера проекта по ее реализации.

Администратор защиты PKI, который будет использовать инструментарий управления уполномоченного по выдаче сертификатов для того, чтобы добавлять, давать разрешение и аннулировать пользователей и их сертификаты, — также очень важная фигура для успешного функционирования инфраструктуры открытого ключа.

Потребуется также администратор каталога и еще один человек, способный выступать в роли уполномоченного по регистрации, хотя можно организовать автоматизированный механизм регистрации, обрабатывающий запросы пользователя, которые передаются через Web-браузеры. В этом случае можно прибегнуть к услугам персонала компании, например администратора баз данных, с тем, чтобы организовать и поддерживать службу автоматической регистрации.

А нужна ли PKI?

Создание инфраструктуры открытого ключа требует значительных сил, средств и времени. Так оправданны ли эти инвестиции? Возможно. На самом деле вопрос сводится к следующему: нужна ли вашей компании более надежная защита и помогает ли PKI достижению этой цели?

У пользователей, скорее всего, нет ответа на этот вопрос, однако руководство, быть может, уже на него ответило, особенно если считает, что нарушение защиты может серьезно повлиять на финансовое положение компании. Мнением руководства относительно PKI следует поинтересоваться в самом начале развертывания проекта.

Некоторые сетевые службы явно предполагают введение поддержки инфраструктуры открытого ключа: электронная почта, защищенная передача файлов, служба управления документами, удаленный доступ, электронная коммерция и службы обработки транзакций Web. Функция обязательного указания авторства, которая гарантирует отсутствие анонимных транзакций, также осуществляется с помощью цифровых сертификатов.

Кроме того, существуют беспроводные сети и виртуальные частные сети, в которых шифрование выступает в качестве инструмента гарантированной конфиденциальности.

Для корпоративной сети и систем электронной коммерции весьма полезным может оказаться еще одно решение, ориентированное на инфраструктуру открытого ключа, — единая точка входа.

Бартон Маккинли — президент консалтинговой фирмы Summit Communications. С ним можно связаться по адресу barton@ummit-com.com

Получение сертификата

Рабочий план развертывания PKI