Все чаще слышится требование ИТ-пользователей в адрес поставщиков технологий, чтобы они поддерживали открытые стандарты. Реакцией на эти запросы стали реальные и полезные шаги в направлении более открытой вычислительной среды. К таким шагам можно отнести и инициативу по созданию базы цифровых подписей (БЦП) файлов, с помощью которой пользователи будут проверять подлинность файлов, составляющих их ПО и приложения.
Инициативу возглавляет фирма Tripwire и поддерживает ряд соучредителей, в частности компании IBM, Hewlett-Packard и Sun Microsystems, заявившие о своей твердой приверженности разработке более безопасных, надежных и экономичных стандартов.
По замыслу БЦП представляет собой репозиторий файловых метаданных, извлеченных из выпускаемого ПО, и учредители проекта уже ввели в нее свыше 11 млн. записей о "хороших" файлах. Она будет доступна обладателям любых лицензированных приложений при предъявлении соответствующей удостоверяющей информации.
Репозиторий позволит проверять подлинность и целостность файлов различных операционных систем путем сравнения файлов с информацией, содержащейся в БЦП. Инициатива открыта для всех поставщиков ОС, приложений и инфраструктуры.
Поддержка репозитория со стороны производителей и их клиентов, вероятно, расширится после того, как зачинатели проекта представят (это должно произойти в следующем году) Web-сервис, с помощью которого основанная на открытых стандартах БЦП станет доступной через Интернет. Пользователи смогут держать и пополнять эту базу данных и на своих серверах. Кроме того, БЦП поступит в распоряжение правительственных и правоохранительных ведомств. Консорциум планирует представить общественности открыто опубликованный стандарт, но насколько он потеснит фирменные подходы, пока неизвестно.
Тем не менее уже на нынешней стадии ясно, что без участия Microsoft и ведущих дистрибьюторов Linux, таких, как Red Hat и SuSE, для многих пользователей подобный проект будет ущербным. Как-никак, а в большинстве корпоративных вычислительных сред работает по нескольку разных ОС.
Руководство Red Hat на словах сообщило, что поддерживает данную инициативу. И, как отмечено в тексте исходного заявления учредителей проекта, идею приветствовал директор Microsoft по вопросам безопасности Ховард Шмидт. Однако участником проекта Microsoft пока что не стала.
Хотя Microsoft выдвинула и свою инициативу под названием Trustworthy Computing, очень желательно, чтобы корпорация присоединилась к коллегиальной разработке открытых стандартов безопасных вычислений. IBM, Sun и HP тоже провозглашали собственные инициативы, позволяющие контролировать подлинность и целостность их ПО. Но это не мешает всем трем компаниям поддерживать и совместный подход.
Мы идем к более интегрированной и автоматизированной ИТ-среде, и поэтому так важно иметь общий метод верификации целостности файлов в разнородных ОС. Корпорациям Microsoft, Red Hat и SuSE следовало бы продемонстрировать свою приверженность процессу движения к открытым стандартам и присоединиться к IBM, Sun и HP в деле создания базы цифровых подписей файлов.