БЕЗОПАСНОСТЬ
Виктор Попов, Алексей Лукацкий
В конце 70-х годов XX века была обоснована возможность создания электронной цифровой подписи (ЭЦП) и практически сразу появились алгоритмы, ее реализующие. Все, что происходило с тех пор до настоящего времени, можно считать периодом зарождения инфраструктуры с открытым ключом - Public Key Infrastructure, PKI.
В качестве стандарта, описывающего PKI-решения, выступает X.509, развивающийся с 1988 г. и регламентирующий формат цифровых сертификатов. Собственно, с сертификата и начинается универсализация, обеспечивающая единые механизмы защиты для решения различных задач, например:
- внутренний документооборот в корпоративной сети;
- электронная почта;
- доступ к сетевым устройствам;
- доступ к Web-узлам;
- организация VPN-соединений;
- авторизация на уровне операционных систем, СУБД и приложений.
Очевидно, что единое решение перечисленных задач существенно упрощает процедуру предоставления полномочий пользователям и сводится к операциям выдачи и отзыва сертификатов, число которых теоретически не имеет предела. Кроме удобства возникает еще один положительный эффект - каждый пользователь в этом случае получает по сути электронный паспорт, который можно применять в системах финансового, социального и прочего назначения.
Логично предположить, что в недалеком будущем помимо сетевого адреса каждый из нас станет владельцем цифрового сертификата. При условии доверия к выдавшему его органу мы сможем совершать любые операции (открытие счета, сделки купли-продажи, регистрация и расторжение брака и т. п.) не сходя с места. При всей футуристичности такого допущения (хотя кто бы мог предположить еще несколько лет назад, что число абонентов сотовой связи в Москве превысит два миллиона) нечто похожее нас все-таки ожидает. На примере других стран мы видим, что число действующих сертификатов исчисляется миллионами, причем не только в странах большой семерки. Налоговая инспекция Австралии только в первые сутки работы развернутой инфраструктуры PKI выпустила более 300 тысяч цифровых сертификатов для своих налогоплательщиков. Теперь подача налоговой декларации тамошними юридическими и физическими лицами не требует очного общения с австралийскими мытарями, что, наверное, бережет всему населению нервные клетки.
Попытаемся, однако, спрогнозировать недалекое будущее PKI в России. Известно, что основным препятствием для технологических новаций в нашей стране являются доставшиеся нам со времен царского режима и Советского Союза принципиальные технологические разногласия со всем остальным миром (например, ширина железнодорожной колеи). В области безопасности эти разногласия имеют непримиримый характер (что, в общем, и правильно). Тем не менее рискнем предположить, что до массового внедрения PKI (один-два миллиона цифровых сертификатов) осталось три-четыре года. Это предположение основывается на следующих предпосылках:
1. От технологий массового применения нельзя отгородиться, во всяком случае надолго. Подобно весенним ручьям, они сами найдут себе дорогу.
2. Кроме того, со дня на день (правильнее сказать, из года в год) ожидается принятие Государственной Думой Закона “Об электронной цифровой подписи”. Данный факт особенно примечателен тем, что некоторые его положения описывают инфраструктуру PKI.
3. Камень преткновения для желающих использовать легальные криптографические средства защиты почти преодолен: теперь продукт, реализующий российские ГОСТы на шифрование, ЭЦП и хеш-функцию, может быть встроен в операционную систему Microsoft Windows.
4. В Россию добрались звезды первой величины, работающие на мировом рынке систем построения PKI.
Проиллюстрируем построение инфраструктуры PKI на примере программного продукта UniCERT, разработанного ирландской компанией Baltimore (www. baltimore.com). Этот продукт обладает всеми стандартными функциями по управлению сертификатами, начиная от их выдачи и проверки и заканчивая хранением и отзывом. Достоинством системы UniCERT является поддержка практически неограниченного числа пользователей - от нескольких десятков до нескольких миллионов, что позволяет применять это решение и в России.
Основу системы UniCERT составляют два модуля: Certification Authority (CA), обеспечивающий выдачу и отзыв сертификатов, и Registration Authority (RA), занимающийся регистрацией данных о владельце сертификата. В зависимости от масштаба организации модули могут наращиваться, что позволяет создавать иерархию взаимодействия нескольких CA и RA, а также использовать различные интерфейсы для модуля регистрации, хранение архивных ключей и т. д.
Кроме перечисленных функций система UniCERT предлагает и ряд дополнительных механизмов:
- создание цифровых сертификатов на физических носителях (например, смарт-картах или токенах SecurID);
- использование современного протокола OCSP, значительно ускоряющего процесс проверки сертификатов;
- совместную работу с различными системами документооборота (например, с Lotus Notes);
- использование шаблонов сертификатов для различных приложений;
- интеграцию с решениями компании Cisco.
Среди тех, кто применяет систему UniCERT, можно назвать компанию Eri-csson, использующую это решение для поддержки цифровых сертификатов в новых моделях своих мобильных телефонов. Благодаря этому Ericsson превращает телефоны в полноценный платежный терминал, с помощью которого пользователь может управлять своим банковским счетом дома, в дороге и т. д. Карточные системы VISA, MasterCard и Europay применяют систему UniCERT компании Baltimore для авторизации транзакций между банками и магазинами, являющимися клиентами этих платежных систем. Также клиентами Baltimore стали Citibank и Chase Manhattan Bank.
В качестве клиентского ПО для взаимодействия с UniCERT используется Windows. Это обстоятельство существенно облегчает применение сертифицированных ФАПСИ российских решений и позволяет разворачивать PKI без излишних правовых проблем, которые возникают при использовании зарубежных продуктов. Таким решением является криптопровайдер “КриптоПро CSP”, разработанный одноименной российской компанией. Применяя криптопровайдер, пользователи Windows могут воспользоваться стандартными программными средствами фирмы Microsoft для реализации решений, основанных на инфраструктуре PKI (браузер Internet Explorer, почтовая программа MS Exchange и MS Outlook, Web-сервер Internet Information Server и т. д.).
Более подробная информация о возможностях и сравнительных характеристиках современных систем построения инфраструктуры PKI (в том числе и системы UniCERT компании Baltimore), выпускаемых ведущими мировыми производителями, была приведена в статье Камерона Стардевана “PKI заступает на дежурство”, опубликованной в PC Week/RE, № 6/2001, с. 20.