информационная безопасность
Однако их использование тормозится несовместимостью и слишком большим числом органов сертификации
По мере того как сетевые администраторы и пользователи стараются увеличить безопасность транзакций в сетях Internet и intranet, все более широкое применение находят цифровые сертификаты, становясь ключевым компонентом системы безопасности в Internet.
Хотя получить цифровой сертификат через Web становится проще, еще не исчезли сомнения в том, что инфраструктура подтверждения достоверности сертификатов и средства управления ими обеспечивают уровень надежности и удобства, достаточный для повседневного использования.
Цифровой сертификат можно рассматривать как цифровой эквивалент идентификатора сотрудника или водительского удостоверения. Он идентифицирует своего владельца перед тем лицом, которому нужно подтверждение личности его носителя. Кроме того, с помощью соответствующего сертификату секретного криптографического ключа можно снабдить документ цифровой подписью перед его распространением. Корреспонденты или бизнес-партнеры впоследствии могут использовать копию цифрового сертификата, чтобы подтвердить “цифровую личность” отправителя.
Цифровые сертификаты часто применяются для того, чтобы установить личность пользователя в электронных транзакциях, таких, как просмотр узлов Web, участие в электронной коммерции, подписание электронной почты и удаленный доступ к сетевым ресурсам.
Например, при использовании протокола SSL (Secure Sockets Layer - уровень защищенных гнезд) Web-браузер и Web-сервер выполняют с помощью цифровых сертификатов взаимную аутентификацию, чтобы удостовериться, действительно ли каждый участник является тем, за кого себя выдает. Кроме того, браузер использует содержащийся в цифровом сертификате Web-сервера открытый ключ шифрования данных, который он посылает обратно на сервер.
Сходным образом протокол электронной коммерции SET (Secure Electronic Transaction - защищенная электронная транзакция) требует, чтобы, во-первых, для каждой кредитной карточки был выдан цифровой сертификат и, во-вторых, продавцы и покупатели располагали цифровыми сертификатами, подтверждающими их личность. (Покупателям цифровые сертификаты выдаются для кредитных карточек.)
Кроме того, цифровые сертификаты играют важную роль в формировании цифровых подписей, например для подтверждения подлинности электронной почты. Отправитель может сгенерировать цифровую подпись для сообщения, используя секретный ключ, но получателю такого сообщения для проверки цифровой подписи нужен соответствующий открытый ключ отправителя. В этом случае один из путей - получение копии цифрового сертификата отправителя.
Корпорации также могут выдавать цифровые сертификаты своим сотрудникам, обеспечивая тем самым управление доступом к сетевым ресурсам. Это устраняет необходимость запоминать имена и пароли для подключения к каждому серверу рабочей группы, принтеру и прочим ресурсам. А когда сотрудники отправляются в поездку, они могут получить доступ к сети компании с помощью цифрового сертификата, подтверждающего их личность на корпоративном брандмауэре.
Управлять сертификатами непросто
Однако к повседневному использованию цифровых сертификатов ведет далеко не гладкий путь. Многие проблемы связаны с инфраструктурой выдачи и управления цифровыми сертификатами, причем степень трудности определяется статусом предполагаемого получателя и тем, как широко будут использоваться сертификаты. Например, вы встретите меньше проблем, если будете применять цифровые сертификаты исключительно в рамках своей компании, но сложности быстро нарастают при их использовании в национальном или глобальном масштабе.
Одна из самых больших проблем, связанных с цифровыми сертификатами, - отсутствие совместимости. В настоящее время каждое приложение работает с цифровыми сертификатами по-своему, и даже приложения одного типа (например, программы просмотра Web) не могут обмениваться. Так, цифровой сертификат, выданный фирмой VeriSign для использования с Microsoft Internet Explorer, нельзя заменить на другой сертификат VeriSign, выданный для браузера Netscape Navigator.
Уже предпринимаются некоторые усилия, направленные на улучшение совместимости цифровых сертификатов на ПК. Архитектура Microsoft Internet Security Framework должна включать “бумажник” (wallet) для безопасного переноса цифровых сертификатов между компьютерами. Входящий в нее интерфейс Microsoft Crypto API позволяет различным приложениям совместно использовать открытые ключи и сертификаты. Однако пока эта архитектура распространена не очень широко (первоначально ее применение ограничивается Windows NT и Windows 95), а “бумажник” для сертификатов еще не выпущен.
Корпорация Intel начала сходный проект, который вначале назывался CDSA (Common Data Security Architecture - единая архитектура безопасности данных), а впоследствии под названием PICA (Platform-Independent Cryptography API - платформно-независимый API криптографии) получил поддержку Netscape, IBM, Northern Telecom и других компаний. Его архитектура использует модульный подход, аналогичный Crypto API, но обеспечивает переносимость между платформами.
Когда для работы с цифровыми сертификатами разрабатывается так много приложений, а совместимость между сертификатами отсутствует, пользователи на своих компьютерах сталкиваются с задачей управления несколькими сертификатами. Даже если для покупок в Internet с помощью протокола SET вы используете только одну кредитную карточку, вам может также понадобиться цифровой сертификат для Web-браузера, другой - для подключения к сети вашей компании и, возможно, еще один для создания подписи и обеспечения безопасности личной электронной почты.
Кому довериться?
Другая проблема связана с тем, каким образом организации, выдающие цифровые сертификаты (они называются органами сертификации - certificate authority, или CA), могут проверять выданные друг другом сертификаты в том случае, когда на рынке появится больше таких органов и пользователей сертификатов. Сейчас число хорошо известных и пользующихся доверием органов сертификации (среди них, в частности, Почтовая служба США и фирмы VeriSign и Entrust Technologies) ограничено, однако оно по мере возникновения новых областей применения сертификатов будет расти. Например, в скором времени банки наверняка начнут выдавать цифровые сертификаты.
Большинство систем распространения цифровых сертификатов и связанных с ними открытых ключей основано на определенной иерархии органов сертификации. Вместо того чтобы зависеть от одного CA, который выдавал бы все цифровые сертификаты, системы допускают работу с несколькими CA. На каждом уровне иерархии CA может связать свои полномочия на выдачу сертификатов с другим CA, имеющим большую степень доверия и расположенным на более высоком уровне иерархии, например с правительственным ведомством.
Чтобы в такой системе подтвердить чью-либо личность с помощью цифрового сертификата, необходимо проследить так называемую цепочку сертификатов. Эта процедура включает проверку того, что сертификат выдан доверенным CA, чей открытый ключ, в свою очередь, сертифицирован органом, расположенным выше в иерархии. Процесс повторяется вплоть до так называемого корневого ключа, выданного чрезвычайно доверенным источником.
Два пути к цели
Компании, которые хотят создать инфраструктуру сертификации, могут выбрать один из двух путей. Они могут приобрести (у Netscape, Microsoft, Entrust, Hewlett-Packard или другой компании) и поддерживать свой собственный сервер сертификации либо доверить управление сертификатами внешнему поставщику, например фирме VeriSign, корпорации GTE или BBN Planet.
Работа с внешним поставщиком позволяет быстрее запустить защищенную систему, но она может не обеспечивать гибкие возможности управления доступом сотрудников на основе каталога, дополняющие функции управления сертификатами. Кроме того, собственный сервер сертификации не требует дополнительных затрат, тогда как работа с внешними поставщиками часто предполагает плату за каждый сертификат, которая для крупной корпорации может вылиться в кругленькую сумму.
В корпоративной среде пока мало систем, которые обеспечивают универсальные возможности подключения с идентификацией пользователя благодаря применению цифровых сертификатов, однако такие системы разрабатываются. Большое значение имеет возможность взаимодействия
между корпоративным сервером сертификации и серверами каталогов. Такое взаимодействие позволило бы системным администраторам связать с пользователем конкретную информацию, включая цифровой сертификат, и сделало бы возможным использование одного сертификата в нескольких приложениях, например в программе электронной почты и Web-браузере, а также обеспечило ограничение удаленного доступа.
Многие предложения, в частности серверы Netscape и Xcert Software, для связи с серверами каталогов используют протокол LDAP (Lightweight Directory Access Protocol - упрощенный протокол доступа к каталогам). Microsoft пока связывает серверы сертификации со службами каталогов NT, но впоследствии также будет поддерживать переход к LDAP.
Подготовка к следующему поколению
Одновременно с реализацией систем для существующих ныне областей применения разработчики стремятся включить в сертификаты дополнительную информацию и сделать их более полезными. Например, обычный цифровой сертификат не включает информацию о возрасте или географическом положении владельца. Но если такую информацию добавить, сертификаты можно будет использовать для ограничения доступа к узлам Web в зависимости от возраста или учитывать место проживания покупателя при решении каких-либо проблем.
Чтобы обеспечить доступ к дополнительной информации о владельце сертификата, компании используют расширения, определенные в разработанном Международным союзом телекоммуникаций (ITU) стандарте на цифровые сертификаты X.509v3. Так, VeriSign с помощью этих расширений обеспечивает доступ к персональным данным в рамках службы Private Label Digital ID Services. Она предназначена для корпораций, которые хотят выдавать собственные сертификаты, например, для компаний, выпускающих кредитные карточки.
Но если каждый орган сертификации будет определять собственные расширения, такой подход может привести к дальнейшему дроблению рынка, а это заставит пользователей получать и управлять еще большим числом цифровых сертификатов.
Дэйв Козюр
Дэйв Козюр - независимый автор и консультант по сетевым технологиям из Рестона
(шт. Виргиния). С ним можно связаться
по адресу: drkosiur@ix.netcom.com.