Технология XKMS должна помочь в решении проблем обеспечения безопасности Web-служб
Участники дискуссий о безопасности Web-служб открыли для себя новую широкую тему, связанную с инфраструктурой шифрования с открытым ключом (Public Key Infrastructure, PKI). PKI — это набор доверительных служб, поддерживающих стандарты SAML (Security Assertions Markup Language) и Liberty Alliance. Кроме того, данные службы позволяют ставить электронную подпись и шифровать документы в соответствии со спецификациями WS-Security. Появления инфраструктуры PKI пользователи с нетерпением ждали задолго до начала революции Web-служб. Электронная коммерция уже породила серверные сертификаты, а клиентских сертификатов, с помощью которых можно было бы проводить аутентификацию пользователей Web-сайтов , а также шифровать почтовые сообщения и ставить на них электронную подпись, все не было. Появление Web-служб, работающих в сквозном режиме, еще более обострило данный вопрос. Средства обеспечения безопасности каналов не обладали той гибкостью, которая требовалась для обработки деловых документов. Информация проходила через цепочку промежуточных узлов, на каждом из которых ставилась подпись, осуществлялось шифрование или проводилась проверка каких-либо частей документов. Безопасность приобретала все более дискретный и многоуровневый характер, возрастала потребность в криптографических ключах, цепочках сертификатов и в специалистах, способных заставить все это работать.
Никто, конечно, не рассчитывает на то, что запутанный гордиев узел удастся разрубить одним ударом. И тем не менее авторы спецификаций XKMS (XML Key Management Specification), разработка которых на начальном этапе финансировалась компаниями VeriSign, Microsoft и webMethods, уже успели сделать целый ряд важных шагов в правильном направлении. В первую очередь была определена логика поиска и проверки исходящих от клиентов сертификатов. По сути XKMS представляет собой Web-службу: если клиенты данной службы смогут избавиться от жестко закодированной логики сертификатов, это окажется полезным сразу в нескольких отношениях. Прежде всего имеет смысл модернизировать мобильные устройства. По словам главного научного сотрудника компании VeriSign Филлипа Хэллам-Бейкера, процедура обработки сертификатов стала слишком громоздкой с точки зрения как кода, так и данных. Поэтому динамическая природа подхода, ориентированного на службы, сулит выигрыш абсолютно всем.
Помимо устранения указанных недостатков спецификации XKMS должны избавить клиентов от неприятностей, обусловленных эволюцией PKI и связанных, в частности, с переходом от процедуры контроля, предусматривающей просмотр списков аннулированных сертификатов в пакетном режиме, к проверке в режиме реального времени при помощи протокола OCSP (Online Certificate Security Protocol). Правда, технология XKMS не в силах взять на себя выполнение базовых операций шифрования, включая генерацию ключей и электронной подписи. Все это оставляется клиенту. Впрочем, по мнению главного технического идеолога компании Baltimore Technologies Мерлин Хьюгз, эти функции никак нельзя считать самыми обременительными, и передача их вряд ли имела бы смысл.
Служба XKMS состоит из двух основных компонентов. Спецификации X-KRSS (XML Key Registration Service Specification) позволяют унифицировать основные способы регистрации информации, переданной с использованием методов шифрования с открытым ключом. Спецификации X-KISS (XML Key Information Service Specification) предназначены для поиска и необязательной проверки сертификатов. В обоих случаях средства XKMS позволяют подключать средства PKI к базовой инфраструктуре Internet.