Новые продукты способны изменить негативное мнение о PKI, предоставляя упрощенное развертывание и более надежную защиту критических бизнес-приложений.
Mногие годы внедрение инфраструктуры открытых ключей (Public Key Infrastructure, PKI) было прерогативой правительственных учреждений, крупных компаний и финансовых учреждений, заботящихся о своей безопасности. Эти организации располагали денежными и человеческими ресурсами, необходимыми для успешного управления сложной системой открытых ключей. Однако позже в силу разных причин к PKI обратился более широкий круг компаний.
Сначала этой технологией заинтересовались те, кто занимается электронной коммерцией. В электронной коммерции используются базовые компоненты PKI в виде цифровых сертификатов и пар открытых/секретных ключей. Зачастую PKI проникает в компании с помощью протокола безопасных сокетов (Secure Socket Layer, SSL) для аутентификации серверов и шифрования трафика в транзакциях Web.
Другим стимулом стало повсеместное развертывание виртуальных частных сетей на базе IPSec. Организация любой значительной сети VPN требует установки центра сертификации (Certificate Authority, CA) для выдачи цифровых сертификатов удаленным пользователям. После введения CA, сертификаты, созданные для сети VPN, могут применяться где угодно.
«Сети VPN зачастую первыми из наших приложений появляются в корпоративной среде, — говорит Брайан О?Хиггинс, директор по технологиям и основатель компании Entrust, одного из лидеров на рынке PKI. — Их прелесть — в масштабируемости. Та же самая PKI пригодна для защиты электронной почты или безбумажных транзакций. Одно такое приложение можно масштабировать до сотен приложений».
И наконец, немалую роль в популяризации PKI играют поставщики решений. В прошлом корпоративные PKI чаще всего продавались как «черные ящики» без привязки к бизнес-процессам, поэтому компаниям приходилось подгонять свои приложения под готовые продукты.
«Отрасль не ставила своей целью создание PKI для приложений, — рассказывает Нил Крейтон, президент и генеральный директор поставщика услуг PKI GeoTrust. — Поставка соответствующих продуктов осуществлялись ради самих инфраструктур PKI».
По словам Крейтона, сейчас все изменилось. Поставщики PKI демонстрируют покупателям способы увеличения эффективности бизнес-приложений при переносе их в Internet без ухудшения защиты. Такие приложения обычно включают удаленный доступ, безопасный обмен сообщениями, обмен электронными документами, проверку транзакций и сетевую аутентификацию (см. Рисунок).
Сертифицируемые области. Пример применения цифровых сертификатов в различных областях бизнеса. В настоящий момент наиболее популярны аутентификация и удаленный доступ/сети VPN. По мере распространения PKI большую часть «пирога» может занять электронная подпись. |
ОСНОВЫ PKI
PKI основана на паре ключей: один из них доступен всем, другой держится в секрете. Ключи независимы, но связаны математически, что дает им асимметричные свойства, т. е. любые данные, зашифрованные одним ключом, могут быть расшифрованы другим. И наоборот, данные, зашифрованные любым ключом, не могут быть расшифрованы с его помощью.
Пары асимметричных ключей — это только начало PKI. Цифровые сертификаты и подписи являются существенными частями инфраструктуры. Сертификаты содержат открытый ключ и идентифицируют владельца соответствующего секретного ключа.
Цифровые сертификаты выдаются центром сертификации. Он может выполняться на корпоративном сервере, однако правительство, финансовые учреждения и поставщики PKI также часто выступают в роли CA. Цифровые сертификаты соответствуют стандарту X.509, определяющему их содержание, включая серийный номер, предмет сертификации, открытый ключ, срок годности и цифровую подпись CA.
Кроме выдачи сертификатов, CA должен быть способен при необходимости аннулировать их: например, если секретные ключи были раскрыты или сотрудник покинул компанию. Как и база данных проблемных кредитных карт, список аннулированных сертификатов (Certificate Revocation List, CRL) позволяет CA отследить просроченные или недействительные сертификаты.
Цифровые подписи включаются в сертификаты для того, чтобы обеспечить целостность сообщений и некоторый уровень обязательств (фиксацию авторства). Цифровая подпись создается путем применения алгоритма хэширования к подписываемым данным. Этот алгоритм создает резюме сообщения, т. е. краткую версию документа. Если документ не изменялся, то запуск того же алгоритма хэширования приведет к появлению идентичного резюме сообщения. При изменении хотя бы одного бита резюме окажется другим.
Резюме сообщения шифруется секретным ключом отправителя. Отправитель передает зашифрованное резюме и применяемый алгоритм хэширования. С помощью открытого ключа отправителя получатель расшифровывает резюме, затем запускает алгоритм хэширования применительно к документу. Если получившееся резюме совпадает с исходным, можно быть уверенным, что документ не изменялся в процессе передачи. В цифровую подпись можно также добавлять временные метки для уточнения времени проведения транзакции.
РЫНОК PKI
Рассматриваемые в данной статье продукты обладают в большей степени сходными чертами, нежели различными. Например, все они обеспечивают регистрацию через Web, с помощью которой конечные пользователи могут подавать заявки на получение сертификатов. Для аутентификации используется центр регистрации (Registration Authority, RA) в соответствии с корпоративной политикой безопасности, что помогает снизить стоимость развертывания PKI за счет автоматизации этой, зачастую механической, функции.
Множество предложений поддерживают некоторую форму роуминга, когда пользователям доступны цифровые удостоверения личности с любого ПК с выходом в Internet без привязки к определенному компьютеру, где они хранятся на жестком диске. Роуминг предоставляет мобильность, полезность которой была бы спорной без повсеместной инфраструктуры смарт-карт (по крайней мере, в США).
Так как продукты имеют почти одинаковый набор функций, потенциальные покупатели должны обращать внимание на их цену, репутацию компании, сервисное обслуживание и поддержку коммерческих и собственных приложений.
Клиенты могут также извлечь пользу из конкуренции на рынке PKI. Entrust, VeriSign и Baltimore Technologies по-прежнему лидируют, но они уже не одни на рынке. Давление со стороны RSA, GeoTrust и других компаний вынуждает прилагать все бо/льшие усилия, чтобы удовлетворить требования заказчиков.
Baltimore Technologies. В июне 2002 г. Baltimore выпустила UniCERT 5.0, новейшую версию своего главного продукта для PKI. UniCERT — это полнофункциональный CA, способный выдавать, управлять и аннулировать цифровые сертификаты и пары ключей. Сертификаты поддерживают полный спектр приложений, включая сети VPN, защищенный обмен сообщениями, цифровые подписи, а также транзакции B2B и B2C.
В версии 5.0 добавилась регистрация через Web. Как уже упоминалось, она помогает автоматизировать процесс регистрации. Администраторы просто выбирают, какие данные им нужны от пользователей, и включают их в форму Web. Они также могут установить «очную» авторизацию для особо ценных сертификатов.
Кроме того, в новой версии UniCERT появилась возможность клонирования. Она позволяет создавать точные копии CA или RA для повышения доступности и эффективности управления сертификатами без необходимости кластеризации аппаратного или программного обеспечения. Например, пара клонов может обмениваться обязанностями по проверке годности и повторной выдаче сертификатов. Клонированные CA можно использовать в качестве резервных.
UniCERT включает в себя модуль для спецификации управления ключами расширяемого языка разметки (XML Key Management Specification, XKMS) — стандарта, разрабатываемого консорциумом World Wide Web Consortium. XKMS обеспечивает такие функции по управлению PKI, как определение местонахождения сертификата и его проверка при услугах Web, что способствует повышению их уровня защиты. Сервер UniCERT XKMS предоставляет интерфейс для бизнес-приложений с поддержкой XML и услугами PKI.
Продукт выпускается для нескольких платформ, включая Windows NT/2000, Solaris и HP-UX. Он поддерживает Active Directory и упрощенный протокол доступа к каталогу (Lightweight Directory Access Protocol, LDAP) для хранения информации о сертификатах.
Entrust. Компания Entrust предлагает полный спектр программных продуктов PKI для различных приложений, включая Entrust Authority, TruePass и Entelligence.
Entrust Authority, теперь в версии 6.0, — главный продукт компании (раньше он назывался Entrust/PKI). Ядром Authority является Security Manager — CA с поддержкой выдачи, управления и аннулирования сертификатов X.509. Он резервирует и восстанавливает сертификаты, обновляет пары ключей и поддерживает перекрестную сертификацию для совместимости с сертификатами конкурирующих компаний, например VeriSign. Для репозиториев сертификатов предусмотрена поддержка Active Directory и каталогов X.500 и LDAP.
Authority предоставляет возможность регистрации через Web для выдачи первых сертификатов и пар ключей. В качестве заявки пользователи заполняют форму Web. Ее можно настраивать, что позволяет администраторам собирать данные, однозначно определяющие пользователей (например, девичья фамилия матери, идентификатор сотрудника или размер недавней денежной выплаты).
Продукт поддерживает и мобильных пользователей. С помощью сервера Authority Roaming Server они получают доступ к своим цифровым удостоверениям (сертификатам и ключам) из любого браузера. Удостоверения присылаются в виде апплета Java в рамках зашифрованного сеанса и удаляются после ее завершения.
Новые возможности Authority позволяют использовать Elliptic Curve Cryptography (ECC), широко распространенную в беспроводных приложениях. Версия 6.0 поддерживает двойные пары ключей для разделения функций шифрования и создания подписи. Резервные ключи шифрования можно хранить и шифровать посредством AES, официального американского аналога устаревающего алгоритма Triple DES. Наконец, по заявлению специалистов Entrust, один-единственный CA способен осуществлять поддержку до 20 млн пользователей.
Решение TruePass этой же компании предназначено для приложений Web. Имея в основе платформу Authority, оно помогает организациям переносить бизнес-приложения в сеть, делая их более доступными для сотрудников, партнеров, поставщиков и покупателей. TruePass обеспечивает аутентификацию пользователей, проверку транзакций с помощью цифровых подписей и отметок о времени, протоколирование транзакций и шифрование коммуникаций.
TruePass не требуется клиентское ПО. Пользователем предоставляется форма Web. Однако перед выдачей удостоверений, особенно для посторонних людей, важно установить необходимые уровни проверки.
По завершении регистрации цифровые удостоверения сохраняются на сервере Authority Roaming Server, облегчая доступ к ним с любого ПК. Эти удостоверения можно использовать для шифрования и цифровой подписи. Кроме того, цифровые удостоверения можно сохранять на смарт-карты или конкретные ПК.
Решение Entelligence нацелено на специфические корпоративные приложения и состоит из четырех модулей. Первый — это Desktop Manager, клиентское ПО для управления и резервирования ключей, обновления сертификатов, ведения журналов использования ключей и проверки входящих и исходящих сертификатов по спискам CRL. Избавляя от необходимости иметь отдельные удостоверения для различных приложений, Desktop Manager предлагает один набор удостоверений для ряда услуг, включая защищенную почту, доступ в Internet, цифровые подписи, доступ к VPN и шифрование файлов на ПК.
Второй модуль — Entelligence E-Mail Plug-in, с помощью которого пользователи подписывают и шифруют почту. Он взаимодействует с Microsoft Outlook и Exchange, а также Lotus Domino и Notes. Ключи шифрования резервируются и сохраняются, чтобы в любой момент зашифрованные письма можно было бы восстановить. Модуль взаимодействует с фильтрами контента компании Tumbleweed. Перед отсылкой почту можно проверять на наличие вирусов и нарушающей корпоративную политику информации.
Третий модуль помогает защитить корпоративные приложения Web и приложения электронной коммерции. Транзакции шифруются с помощью алгоритмов Triple DES или CAST 128, а пользователи могут подписывать документы HTML для проверки транзакций. Модуль поддерживает HTTP 1.0 и 1.1, а также браузеры Internet Explorer и Netscape Navigator.
Последний, четвертый модуль Entelligence предназначен для работы с файлами. Он шифрует и дешифрует файлы и папки на настольных, переносных ПК или сетевых дисках. Пользователи имеют возможность выбирать файл для шифрования, а затем его параметры. Модуль также можно настроить на автоматическое шифрование файлов в указанных папках. Продукт поддерживает множество алгоритмов шифрования, включая Triple DES и ECC.
GeoTrust. Как уже упоминалось, GeoTrust — один из поставщиков услуг PKI. Недавно компания объявила о партнерстве с Register.com. Теперь пользователи, регистрирующиеся на Register.com, могут получить цифровые сертификаты SSL от GeoTrust, а у компании VeriSign, занимающейся регистрацией и выдачей сертификатов SSL, появился непосредственный конкурент.
Линейка продуктов GeoTrust включает сертификаты SSL для электронной коммерции, проверки идентификации на сайтах Web и корпоративные услуги PKI. Корпоративное решение называется True Credentials. Компания GeoTrust разделила его на три целевые службы: безбумажные транзакции, защищенный доступ и защищенный обмен сообщениями.
Первая часть обеспечивает аутентификацию и цифровую подпись для тех, кто хочет перевести бумажные процессы в электронную форму. Защищенный доступ предназначен для удаленных сотрудников и торговых партнеров. Для предоставления пользователям Internet и Extranet доступа к корпоративным приложениям в нем используется интерфейс Web. Чтобы гарантировать удаленным пользователям защищенный доступ к сети он работает с аппаратным обеспечением и клиентами VPN. Защищенный обмен сообщениями предусматривает шифрование почты и цифровую подпись. Продукт совместим с Microsoft Exchange и Outlook, LotusDomino и Notes, а также с Eudora.
GeoTrust не выпускает управляющее ПО для корпоративных заказчиков. Вместо этого, назначенные администраторы управляют политикой восстановления, аннулирования ключей и обновления сертификатов через браузер на сайте, расположенном в GeoTrust. Таким же образом пользователям выдаются и сертификаты, а цифровые удостоверения хранятся на ПК.
RSA Security. Решение Keon компании RSA предназначено для корпоративного применения. Оно позволяет защитить почту и доступ к приложениям, автоматизировать авторизацию и шифрование файлов. Продукт подходит для транзакций SSL на базе Web и может создавать сертификаты для сетей IPSec VPN.
Keon делится на компоненты, которые можно использовать в различных бизнес-процессах и приложениях. Покупателям достаточно лишь приобрести нужные им компоненты.
Система Keon обеспечивает и хранение цифровых удостоверений. Их можно записать на смарт-карту или в зашифрованный контейнер, который, при необходимости, передается на ПК пользователя.
Сервер Certificate Server (CS) служит основой линейки продуктов RSA. Он выдает и аннулирует сертификаты, выступает в роли хранилища и регистрирует пользователей. CS распространяет стандартные сертификаты X.509 v3 для приложений SSL, S/MIME и IPSec; его можно интегрировать с другими компонентами Keon, чтобы обеспечить PKI для различных приложений. Сертификаты опираются на стандарты, поэтому они совместимы с сертификатами конкурентов, включая VeriSign.
Пользователи подают заявки на сертификаты через браузер Web. Сами сертификаты хранятся на сервере Netscape LDAP или в других каталогах, совместимых с LDAP. CS включает в себя клиент LDAP для взаимодействия с каталогом.
Дополнительной к CS является аппаратная система архивации ключей Key Recovery Module (KRM). Она надежно сохраняет копии секретных ключей, используемых для шифрования данных, что гарантирует восстановление информации в случае порчи или утери оригиналов. (Секретные ключи, применяемые для цифровой подписи, никогда не копируются, так как в этом случае нельзя гарантировать авторство.) Доступ к дубликатам управляется секретным ключом, распределенным между несколькими смарт-картами. Для получения всего ключа необходимо участие владельцев всех его частей.
Сервер Keon Security Server (SS) обеспечивает аутентификацию, авторизацию, проверку сертификатов, управление хранением удостоверений и другие функции. Кроме того, SS заботится о мобильности, сохраняя пользовательские ключи и сертификаты, так что пользователи могут загружать их через браузер Web с помощью SSL.
Если пользователю потребовались его удостоверения, он может получить доступ к SS с компьютера, на котором установлено клиентское ПО Keon Desktop. После аутентификации пользователя в SS, удостоверения передаются в зашифрованном контейнере для временного хранения на компьютере.
Клиент Keon Desktop запускается на настольных или переносных ПК. Он обеспечивает доступ к персональным ключам и сертификатам для таких приложений, как аутентификация в сети, защищенная почта и IPSec VPN. Клиент Keon Desktop позволяет шифровать файлы локально.
Keon Desktop поддерживает множество методов аутентификации, включая смарт-карты, токены и пароли. Отметим, что по умолчанию создаются две пары ключей для стандартных или виртуальных смарт-карт, но для шифрования и подписи используется только одна пара. Администраторы, которым требуется более высокий уровень безопасности, могут активизировать вторую пару для раздельного шифрования и подписи.
VeriSign. VeriSign — лидер на рынке аутсорсинговых услуг PKI. Ядром предлагаемых корпоративных продуктов стала услуга Managed PKI. Хотя ключи и сертификаты для использования в инфраструктуре создает VeriSign, компания сохраняет полный контроль над процессами регистрации и аннулирования, включая способы обращения пользователей за сертификатами (например, через настраиваемую форму Web) и процедуры аутентификации.
VeriSign поддерживает создание двойных пар ключей для разделенного шифрования и подписи. Секретные ключи пользователей можно записать на смарт-карту или токен, но чаще всего они хранятся на жестком диске.
Система управления ключами позволяет резервировать секретные ключи, используемые для шифрования. Они хранятся в зашифрованном виде непосредственно в компании, поскольку VeriSign не хранит ключи на своей территории. Однако ключи для расшифровки резервных копий находятся в VeriSign.
После развертывания службы Managed PKI компании могут интегрировать сертификаты в различные приложения, включая приложения электронной коммерции, сети VPN, защищенную подпись и передачу документов, а также защищенную электронную почту.
Например, VeriSign Go Secure для Microsoft Exchange позволяет шифровать и подписывать почту с помощью обычного клиента Outlook 98/2000. В каталоге Exchange Server размещаются цифровые сертификаты, так что отправитель может получить доступ к открытому ключу получателя для шифрования сообщений. Секретные ключи хранятся на локальном аппаратном обеспечении или на ПК. Go Secure выпускается и для Lotus Notes.
Мобильным пользователям VeriSign также предлагает роуминг. Модуль для браузера Personal Trust Agent запрашивает пароль, после аутентификации он получает доступ к пользовательскому сертификату и секретному ключу и выполняет требуемые функции подписи или шифрования от имени пользователя. Сертификат никогда не хранится на жестком диске локального ПК, он удаляется сразу по завершении транзакции или при тайм-ауте сеанса. Функция роуминга доступна для Internet Explorer и Netscape.
Эндрю Конри-Мюррей — редактор отдела бизнеса в Network Magazine. С ним можно связаться по адресу: amurray@cmp.com.
? CMP Media LLC
Рассматриваемые продукты
Baltimore Technologies http://www.baltimore.com.
- UniCERT 5.0
Entrust http://www.entrust.com.
- Authority, TruePass, Entelligence
GeoTrust http://www.geotrust.com.
- True Credentials
RSA Security http://www.rsa.com.
- Keon
VeriSign http://www.verisign.com.
- Служба Managed PKI
Другие поставщики продуктов PKI
Несмотря на лидерство трех крупнейших поставщиков PKI — Entrust, VeriSign и Baltimore Technologies, на рынке немало и других конкурентов. Вот некоторые из компаний, предлагающих решения PKI, и описания их продукции.
Certicom, http://www.certicom.com.
Хорошо известные уязвимости стандарта WEP вынудили многих пользователей искать дополнительные уровни защиты. Certicom предлагает как управляемые, так и локальные решения PKI, обеспечивающие более надежную аутентификацию и шифрование для беспроводных сетей, нежели WEP. Certicom поддерживает алгоритмы Elliptic Curve Cryptography (ECC) и RSA. ECC, использующий более короткие ключи, работает быстрее, требует меньших вычислительных затрат и в большей степени подходит для беспроводных устройств.
Computer Associates, http://www.ca.com.
В феврале 2002 г. компания Computer Associates (CA) анонсировала eTrustPKI 2.0, программное решение PKI для предприятий. ETrust предоставляет цифровые сертификаты x.509, пригодные для различных приложений, включая VPN, однократную регистрацию и доступ в Internet. Однако eTrust рассчитан на тесную интеграцию с продуктами СА и, возможно, менее подходит для тех, кто пользуется другими решениями.
Digital Signature Trust, http://www.digsigtrust.com.
Identrus, http://www.identrus.com.
Digital Signature Trust (DST) — поставщик услуг PKI. Главный его продукт — платформа TrustID для выдачи цифровых сертификатов тем компаниям, где хотели бы перевести бизнес в Internet, использовать цифровые подписи и защищенное хранение данных. В марте 2002 г. DST анонсировала свое слияние с Identrus. Как мировой брокер Identrus управляет контрактной инфраструктурой крупных банков по выдаче цифровых сертификатов самим банкам и их клиентам.
Novell, http://www.novell.com.
Сервер Novell Certificate Server 2.0 представляет собой корпоративное решение PKI, интегрированное с Novell Directory Service (NDS). Он функционирует в качестве центра сертификации как для конечных пользователей, так и для серверов, обеспечивающих транзакции SSL.
Windows 2000, httр://www.microsoft.com.
Операционная система Windows 2000 компании Microsoft способна выдавать цифровые сертификаты X.509 другим приложениям Microsoft с поддержкой PKI, таким, как Exchange и Outlook. Однако решение Microsoft предлагает ограниченные возможности управления и больше подходит для однородных сред Windows.
Ресурсы Internet
Дополнительную информацию о PKI можно найти в статье Э. Конри-Мюррея «Основные компоненты инфраструктуры с открытыми ключами» в январском номере «Журнала сетевых решений/LAN» за 2002 г. по адресу: http://www.lanmag.ru.
Книга «Planning for PKI» авторов Расса Хаусли и Тима Полка (изд-во Wiley, 2001 г.) — отличный путеводитель по технологиям и проблемам, связанным с развертыванием систем PKI.
RSA Security опубликовала бесплатный документ об отдаче от инвестиций в PKI. Для доступа к нему придется заполнить форму. Документ находится по адресу: http://www.rsasecurity.com/go/pkiroi/index.html.
За информацией о совместимости сертификатов обратитесь к PKI Challenge, созданной при поддержке европейской некоммерческой ассоциации по электронной коммерции EEMA. Данный документ содержит информацию о 15 поставщиках решений PKI, включая Entrust, VeriSign, Baltimore Technologies и RSA Security. См.: http://www.eema.org/pki-challenge/.