Цифровые сертификаты обещают многое, но администраторы должны тщательно следить за их аннулированием
Джим Керстеттер
ИТ-менеджеры, планирующие внедрение цифровых сертификатов в качестве составной части применяемой их корпорациями архитектуры открытых ключей, должны иметь в виду: при плохом администрировании аннулированные владельцами цифровые сертификаты могут представлять собой угрозу безопасности сети.
Эта угроза настолько реальна, что производители (среди них - корпорации Microsoft, Netscape Communications и ValiCert, фирмы VeriSign, GTE CyberTrust и Entrust Technologies) делают все возможное для подписания взаимных соглашений о создании технологий, упрощающих управление аннулированными сертификатами.
Результатом подобных разработок должно стать ПО, способное предоставить корпорациям непосредственный доступ к спискам тех используемых в процессе обмена открытыми ключами сертификатов, которые были аннулированы, и тем самым гарантировать правильность аутентификации лиц, с которыми эти корпорации общаются.
Сегодня не существует никакого физического способа кроме как по истечении срока действия сертификата отсоединить цифровой сертификат от компьютера пользователя, более не являющегося его правомочным владельцем.
Фирма Lexis-Nexis (Дейтон, шт. Огайо) предоставляет цифровые сертификаты юридическим фирмам, расположенным на всей территории США. Для них, рассказывает Дэвид Вандагрифф, директор Lexis-Nexis по технологическим альянсам, совершенно недопустимо наличие временного интервала между аннулированием сертификата и посылкой извещения об этом их деловым партнерам.
“Конфиденциальность имеет огромное значение, так как критически важно правильно осуществлять авторизацию физических лиц, - заявил Вандагрифф. - Я не хочу вручную рассылать уведомления каждому, кто должен перестать использовать чей-то открытый ключ в своей электронной почте”.
Предоставляемые сегодняшними приложениями средства учета аннулированных сертификатов лишь немногим лучше тех маленьких черных книжечек, в которые торговцы когда-то имели обыкновение заносить номера украденных кредитных карточек.
Например, фирма VeriSign (Маунтин-Вью, шт. Калифорния) использует так называемый CRL (Certificate Revocation List - список аннулированных сертификатов), в который заносятся все сертификаты VeriSign, по тем или иным причинам утратившие свою силу, например при увольнении сотрудника из компании. Этот список отображается на общедоступном Web-узле и регулярно копируется на серверы, расположенные у клиентов VeriSign.
До тех пор пока владельцы сертификатов на обеих сторонах транзакции являются клиентами, VeriSign, CRL работает чудесно. Однако VeriSign хотя и крупнейший центр выдачи сертификатов, но отнюдь не единственный.
Большинство служб сертификатов и производителей ПО опираются на собственные CRL, которые несовместимы друг с другом. В результате, когда компания выпускает свои цифровые сертификаты, она должна извещать остальных о всех случаях их аннулирования.
Означает ли это, что цифровые сертификаты небезопасны? Не обязательно. Большинство цифровых сертификатов содержат дату истечения срока его действия и ссылку на ответственный за его выдачу центр управления или выпустившую сертификат корпорацию.
Однако именно аннулирование представляет собой слабое место в системе безопасности, о котором пользователи не должны забывать.
Многие из функций безопасности, включаемые корпорацией Microsoft (Редмонд, шт. Вашингтон) в Windows NT 5.0, будут касаться цифровых сертификатов. В частности, Microsoft работает над средствами их аннулирования.
По словам Карана Ханна, менеджера Microsoft по продукции, корпорация выпустит вместе с Windows NT 5.0 новое ПО управления сертификатами Certificate Server 2.0 и интегрирует его со службой Active Directory этой ОС.
Благодаря этому Windows NT 5.0 сможет работать с CRL. Браузер Microsoft Internet Explorer 4.0 поддерживает уже выпускаемые корпорацией средства аннулирования сертификатов Authenticode, хотя по умолчанию эта возможность отключена. Поддержка CRL в Internet Explorer будет обеспечена в этом году.
Имеющиеся в настоящее время в клиенте Communicator корпорации Netscape Communications (Маунтин-Вью, шт. Калифорния) средства проверки статуса сертификата на предмет аннулирования весьма ограниченны. Однако представители компании заявили, что до конца года поддержка CRL в Navigator и Communicator будет улучшена.
Что касается серверной части, то Netscape Certificate Server поддерживает CRL и связывает их с LDAP-каталогами (Lightweight Directory Access Protocol - упрощенный протокол доступа к каталогам).
VeriSign и другие поставщики работают также над проектом протокола OCSP (Online Certificate Status Protocol - протокол проверки оперативного состояния сертификатов), который позволит автоматически проверять статус сертификатов.
Однако эта спецификация, разрабатываемая группой Internet Engineering Task Force, еще далека от завершения. Существует также опасение, что OCSP станет интенсивно “пожирать” пропускную способность сети, так как этот протокол устанавливает повторное обратное соединение с сервером для проверки статуса сертификата.
Фирма ValiCert (Саннивейл, шт. Калифорния), со своей стороны, разработала древовидную структуру аннулирования сертификатов, которая должна обеспечить возможность совместной работы различных CRL, и предоставила лицензии на свой инструментальный комплект компаниям GTE, Netscape, Entrust и др. Во II квартале GTE выпустит комплект инструментов, с помощью которого ее корпоративные клиенты смогут проверять CRL-списки.
Пользователи считают, что отделы ИТ должны проявлять осторожность при распространении своих служб сертификации в Internet. “Бреши в безопасности, - заявил Вандагрифф, - всегда возникают на стыке технологий”.