FBCA подводит под системы сертификации общий фундамент
Деннис Фишер
Как обычно бывает с чрезмерно рекламируемыми технологиями, в инфраструктуре открытых ключей (PKI) некогда усматривали величайший прогресс. Лет пять назад она расхваливалась как панацея от всех бед корпоративной безопасности и абсолютно необходимая вещь для организаций любого масштаба. Но из-за неудач многих экспериментальных проектов, безумных сложностей реализации и охлаждения пыла производителей технология PKI вышла из поля зрения пользователей, и ее поборники могут сослаться лишь на считанные примеры успешного внедрения.
Мур: "Взаимодействовать автоматически
системы сертификации не могут"
Тем не менее за прошедшее время эта технология обрела зрелость и некоторые организации осознали ее потенциальную эффективность в определенных приложениях. Прекрасным примером тому является инициатива Federal Bridge Certification Authority (FBCA). Этот уже двухлетний проект объединил доверительные инфраструктуры ряда федеральных ведомств, и его руководители думают о распространении своего начинания на частный сектор индустрии и на правительственные органы других стран.
Инициатива FBCA выросла из необходимости. Три-четыре года назад, на пике интереса к PKI, некоторые правительственные учреждения задумали заложить фундамент для собственных удостоверяющих центров. Как порой случается в федеральном правительстве, большинство этих инициатив носило ведомственный характер и ответственные за них лица не имели понятия, что в других организациях работают над схожими проектами.
Это значило, что каждое ведомство разрабатывало собственную политику, свои процедуры перекрестной сертификации и выбирало собственного поставщика технологии. Все они думали о взаимодействии своих инфраструктур, но не имели общего мнения о том, как это сделать.
И вот на свет появляется FBCA. В успехе проекта особенно удивляет тот факт, что движущей силой инициативы стало федеральное правительство, никогда не отличавшееся эффективностью и новаторством.
"В PKI-сообществе федерального уровня отчасти сознавали, что ведомства строят свои PKI с определенным прицелом на возможность взаимодействия. Другой вопрос, как его реализовать, - говорит Гари Мур, старший архитектор фирмы Entrust, вовлеченной в создание FBCA. - Люди наивно воображали, что можно купить систему и задействовать услуги удостоверяющих центров без какой-либо политики".
В техническом плане FBCA не является реализацией PKI; скорее, это мост для взаимодействия PKI разных ведомств, позволяющий осуществлять перекрестную сертификацию. На нынешнем этапе система в основном поддерживает безопасность электронной почты. Ее архитектура напоминает сходящиеся лучи и концентратор, в качестве которых соответственно выступают отдельные организации и General Services Administration. GSA содержит серверы, вмещающие базы с сертификатами, и действует как центр обмена инструкциями о том, что ведомства должны делать для перекрестной сертификации через FBCA.
По существу эти документы по политике - душа и сердце инициативы FBCA. Так как каждое ведомство создало свою PKI еще до появления FBCA, они успели разработать политики и процедуры для формирования верительных данных, аннулирования сертификатов и десятков других необходимых операций. С предложением FBCA быстро стало ясно, что всеми этими аспектами должна управлять вышестоящая политика, иначе проект провалится.
По словам Джудит Спенсер, председателя комитета Federal PKI Steering Committee - административного органа GSA, "...проект реализовывался в тесной кооперации. Но его узловая проблема - вопросы политики и политика обеспечения взаимодействия. С теми, кто находился за пределами доверительной среды, приходилось договариваться, каким образом они в нее войдут. А с технической стороной все было легко. Всегда найдутся толковые люди, которые сумеют разобраться с ней. Политику же никогда нельзя недооценивать. Она - как опорный шест для шатра".
С начала реализации проекта в 2001 г. сообщество пользователей FBCA выросло до 2 млн. человек, и нынешняя задача Спенсер состоит в расширении доверительной среды за пределы официального Вашингтона. По поводу подключения к FBCA она уже провела переговоры с представителями аэрокосмической отрасли и с людьми из университетов. Свой интерес к перекрестной сертификации на базе FBCA выражают и некоторые штаты.
Самой интригующей, однако, является перспектива расширения моста за пределы США. У Спенсер были предварительные договоренности с правительственными кругами в Азии и Европе, и если не касаться очевидных политических вопросов, то для подключения к мосту других стран, по ее словам, нет никаких серьезных препятствий.
По прогнозу Спенсер, FBCA со временем станет главным порталом для контактов с федеральным правительством. Это вряд ли можно было вообразить еще три-четыре года назад, когда PKI была в числе самых рекламируемых и одновременно самых очерняемых информационных технологий.
"Теперь мы с ней можем делать все что хотим, - сказала Спенсер. - В основе PKI лежит идея доверительных отношений в бизнес-среде. Мы развили мощный импульс. И как ни ругают PKI, при правильной реализации она может стать очень надежной вещью".