Но несмотря на то, что первые пользователи этой технологии продолжают восхищаться повышением безопасности внутренних и внешних соединений, они уже начали сталкиваться с проблемами взаимодействия, а тем временем на горизонте замаячили и административные трудности.
Продукты и услуги, входящие в инфраструктуру шифрования открытым ключом (public-key infrastructure, PKI), предлагаются на рынке целым рядом компаний. Организации, вволю уже поэкспериментировавшие с этой технологией, утверждают, что в один прекрасный день клиенты могут оказаться намертво привязаны к продуктам одного-единственного поставщика.
Берем дело в собственные руки
Большинство компаний, начинающих использовать технологию PKI, из двух путей выбирают один: они либо создают собственный орган выдачи сертификатов, либо предоставляют это сделать другим компаниям, специализирующимся на услугах PKI, например VeriSign и Digital Signature Trust. Как правило, создание собственного органа выдачи сертификатов предполагает установку серверов управления сертификатами и серверов каталогов, а также дополнительного настольного ПО, в частности встраиваемого Web-браузера.
Серверы управления сертификатами создают сертификаты, аннулируют их и выполняют другие операции. Сертификаты хранятся на сервере каталогов. По словам представителей компании-поставщика продуктов Entrust Technologies, корпоративные клиенты должны быть готовы выложить не менее 10 тыс. долл. за сервер и от 1 до 75 долл. за обслуживание одного пользователя.
Организации, планирующие выдавать собственные сертификаты, в частности NASA, уже убедились в невозможности добиться взаимодействия различных компонентов PKI, например серверов управления сертификатами и серверов каталогов на базе технологии Lightweight Directory Access Protocol. Поставщики пытаются уверить, что все эти компоненты стандартизированы, однако менеджер по программам группы разработки средств обеспечения безопасности информационных технологий американского космического агенства NASA Пол Ма утверждает обратное.
Наличие проблем с взаимодействием продуктов означает, что сертификат на базе технологии одного поставщика не может пройти даже обычную оперативную проверку на достоверность (позволяющую выяснить, не был ли он аннулирован) на сервере управления сертификатами другого поставщика.
"Между органами выдачи сертификатов идет борьба за рынок", - объяснил Ма, который уже многие годы тестирует программное обеспечение Entrust, VeriSign, GTE CyberTrust Solutions, Microsoft и других компаний.
"Компании Entrust и VeriSign приспособили собственные сертификаты для работы только со своими органами выдачи сертификатов", - заявил он.
Появление стандарта под названием Public-Key Infrastructure Exchange-3, разработку которого ведет IETF, должно повысить уровень взаимодействия между серверами управления сертификатами. Однако, по мнению Пола Ма, положение начнет выравниваться под давлением коммерческого сектора, в первую очередь банков.
Несмотря на проблемы со взаимодействием, первые пользователи, уже получившие сертификаты, утверждают, что технология шифрования открытым ключом все еще не потеряла своей значимости.
Так, банк NationsBank планирует этим летом выдать цифровые сертификаты на базе технологии VeriSign 30 тыс. своих сотрудников.
Тем не менее в PKI имеются недостатки, которые еще предстоит исправить. В середине марта NationsBank совместно с дюжиной других финансовых компаний, отраслевых поставщиков и правительственных учреждений Вашингтона участвовал в закрытом заседании торгово-финансовой группы под названием "Круглый стол банкиров" (Bankers Roundtable). Заседание было целиком посвящено технологии шифрования открытым ключом.
Среди вопросов, которые еще требуют решения, проблема осуществления контроля за PKI конечных пользователей, имеющих более одного сертификата. В этом случае клиентскому ПО нелегко проводить анализ каталога с тем, чтобы найти нужный сертификат шифрования открытым ключом.
Вера в PKI
Впрочем, если PKI работает, то она работает хорошо.
Церковь мормонов, штаб-квартира которой находится в Солт-Лейк-Сити, выпустила сертификаты для руководителей ее отделений, расположенных в Австралии и Великобритании. Это позволяет им посылать запросы на открытие банковских счетов или проведение переводов денежных средств, снабжая их цифровой подписью в соответствии с технологией GroupWise производства компании Novell.
Сообщения с электронной подписью приходят на смену факсимильным сообщениям. "При использовании факсов нам необходимы подтверждения правильности запроса, которые приходится получать по телефону", - объяснил директор финансовой службы церкви мормонов Рей Андерсон.
Это не очень удобно, особенно при связи с труднодоступными районами. В планах церкви - к концу года оборудовать цифровыми сертификатами еще 11 международных офисов, а в следующем году довести их общее число до 38.
Обслуживание сервера управления сертификатами церкви мормонов осуществляет компания Digital Signature Trust, использующая пакет GroupWise производства компании Entrust.
По словам заместителя главного юрисконсульта департамента технологических услуг при правительстве штата Массачусетс Даниэля Гринвуда, рабочая группа штата по вопросам интерактивного управления (Online Government Task Force) выпустила доклад, содержащий призыв использовать сертификаты шифрования открытым ключом. Правда, это не означает, что администрация штата уже в скором времени начнет выдавать сертификаты всем своим жителям и расположенным на его территории компаниям.
"Технология шифрования открытым ключом должна рассматриваться как один из многих способов аутентификации транзакций", - сказал Гринвуд, руководивший этой группой специалистов. Штат принял на себя заботы по проведению анализа экономической целесообразности программы. Необходимо было определить, где именно применение сертификатов будет оправданно. Однако оказалось, что в настоящее время многим приложениям сертификаты не очень нужны.
"В некоторых случаях тратить деньги на создание крупной системы PKI совсем не обязательно", - сказал Гринвуд.