БЕЗОПАСНОСТЬ

Подключаемый модуль RSA обещает устранить препятствия на пути шифрования с открытым ключом

Пользователи сегодня все чаще требуют повышенной безопасности на всех уровнях, но предприятия пока не слишком охотно берут на вооружение технологию PKI (инфраструктура открытых ключей). Такая ситуация - не секрет для производителей криптографических систем, и они всячески стараются ее переломить.

Отношение к PKI, в частности, надеется изменить фирма RSA Security (Бедфорд, шт. Массачусетс). Выпущенное ею в декабре ПО Keon Web Passport призвано устранить два главных барьера на пути развертывания инфраструктур открытых ключей: оно обещает упростить интеграцию с приложениями и сделать криптосистему “прозрачной” для конечных пользователей.

Автоматическая регистрация сертификата по схеме RSA

По словам представителей RSA, в основу Keon Web Passport положена разработанная в 1999 г. фирмой VeriSign концепция под названием PTA (Personal Trust Agent - персональные доверительные агенты). В них, а теперь и в Web Passport используются компактные загружаемые модули, которые создают своего рода мосты между приложениями и сертификатами PKI и избавляют от необходимости встраивать поддержку PKI в сами приложения. Подключаемый модуль Keon размером 700 Кб поддерживает большинство основных приложений, включая программы обработки электронной почты, совместимые с протоколом SMIME (Secure Multipurpose Internet Mail Extensions - многоцелевые расширения почтовой службы Интернета), а также все Web-браузеры и формы безопасности.

Но Web Passport идет еще дальше: как отметили представители RSA, новое ПО автоматизирует процесс регистрации сертификатов. Когда на Web-узел с загруженным модулем Keon заходит пользователь без зарегистрированного здесь сертификата, система сначала генерирует специализированный подключаемый компонент, а затем извлекает сертификат, имеющийся у пользователя (его можно получить в любом из органов сертификации). После этого пользователь регистрируется на основе информации, которая хранится в каталоге LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к каталогам). Таким образом, для работы с инфраструктурой открытых ключей конечному клиенту достаточно лишь разрешить загрузку подключаемой программы - все остальное система сделает за него сама.

Способность Keon работать с любым приложением и сертификатом, а также исключение конечного пользователя из процесса регистрации делает это ПО весьма перспективным. Появляется надежда, что инфраструктуры открытых ключей станут “прозрачнее”, а значит, будут более пригодными для широкого распространения.

На сегодняшний день из всех функций PKI используются главным образом единая регистрация и аутентификация в виртуальных частных сетях. Однако большинство производителей смотрят дальше. Они уже готовятся к тому, что инфраструктуры открытых ключей станут рутинным средством проведения внешних транзакций через Всемирную паутину.

Правда, для этого нужно время. По расчетам RSA, сначала должны появиться небольшие системы PKI, возможно внутренние, и лишь после этого начнется постепенная передача сертификатов клиентам и партнерам, взаимодействие с которыми ведется через Всемирную паутину.

Корпорация Electronic Data Systems (Плейно, шт. Техас), например, начала с того, что предоставила своим сотрудникам возможность единой регистрации. Гейвин Граундс, ее директор по информационным услугам, уверен, что технологии PKI вот-вот завоюют всеобщее признание. “Долгое время инфраструктуры открытых ключей были жертвой парадокса: мы хотели получить нечто очень надежное и при этом предельно простое, - поясняет он. - Мне кажется, что эти мечты уже начинают сбываться”.

С ним согласен и Крис Смит, директор информационных технологий фирмы Federal Credit Union (Уобурн, шт. Массачусетс), принадлежащей корпорации Eastern. Используя PKI для аутентификации пользователей с 1997 г., он уже в ближайшее время ожидает коренного перелома в отношении к этой технологии. “Конечно, дело движется не без трудностей, - признается Смит. - Развертывание даже весьма ограниченной системы и подключение к ней самых распространенных приложений требуют устранения множества брешей. Но мы надеемся, что ПО наподобие Keon поможет нам решить многие задачи, которые мы возлагаем на PKI”.

Однако успех такого подхода отваживаются гарантировать далеко не все аналитики в области безопасности. Вот какого мнения, в частности, придерживается Стив Гибсон, владелец корпорации Gibson Research (Лагуна-Хиллз, шт. Калифорния): “Проблема в том, что технология недостаточно “прозрачна” для конечного пользователя. Keon может решить ее лишь в определенной степени, но коренного перелома не произведет. Чтобы добиться настоящего успеха, нужно обеспечить гораздо более тесную интеграцию операционных систем с PKI”.

В настоящее время RSA проводит бета-тестирование Keon Web Passport, выпуск готового продукта ожидается не ранее I квартала 2001 г.

Взгляд из eWeek Labs // Джим Рапоза

Keon Web Passport фирмы RSA Security - продукт неплохой, но, вопреки заявлениям создателей, коренного переворота в использовании инфраструктур открытых ключей произвести не сможет.

Джим Рапоза

Когда Тестовый центр eWeek Labs готовил обзор, посвященный системам PKI, мне довелось поговорить с представителями RSA об их новом продукте. Как оказалось, Web Passport представляет собой по существу браузерную версию мощного клиента Keon этой фирмы. Благодаря этому ПО мобильные пользователи получат в свое распоряжение многие - но далеко не все! - функции полномасштабного клиента. Главное - новинка откроет доступ ко всем имеющимся у них цифровым сертификатам.

Такие возможности смогут по достоинству оценить те пользователи, которым требуется доступ к конфиденциальной информации из киоска данных по взаимным соглашениям. И все же браузерный подключаемый модуль, работающий только в среде Windows, едва ли можно признать новым достижением технологий. Вспомним хотя бы, что сходный инструмент под названием Personal Trust Agent уже довольно долго предлагает фирма VeriSign, причем ее продукт может запускаться как в виде элемента управления ActiveX, так и в виде подключаемого модуля Netscape. Конечно, он не столь универсален, как Keon Web Passport, но мобильный доступ вполне обеспечивает.

На практике большинство компаний, всерьез относящихся к технологии PKI, снабдят своих пользователей жетонами безопасности или микропроцессорными карточками, которые откроют своим владельцам доступ к ключам и сертификатам, где бы они ни находились. Какой же можно сделать вывод? Keon Web Passport фирмы RSA - очень нужный инструмент, расширяющий доступ к ресурсам PKI, но ожидать, что он изменит сам облик инфраструктуры открытых ключей, конечно же, не стоит.

С техническим директором eWeek на Восточном побережье США Джимом Рапозой можно связаться по адресу: jim_rapoza@ziffdavis.com.