LINEBURG


<< Пред. стр.

страница 20
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

В современных условиях защищенный обмен сообщениями,
надежная идентификация и электронная коммерция невозможны без
инфраструктуры открытых ключей. Продукты и услуги для под-
держки PKI предлагаются на рынке целым рядом компаний. Одни
компании производят комплексное программное обеспечение, кото-
рое может быть использовано для организации собственного удо-
стоверяющего центра и управления сертификатами, другие предос-
тавляют услуги удостоверяющего центра, обеспечивая работу и
управляя серверами сертификатов в своих офисах, доступ к которым
клиенты получают через Интернет.
PKI представляет собой фундаментальную составляющую
корпоративной архитектуры защиты, поэтому крупные компании с
достаточными финансовыми и техническими ресурсами предпочи-
тают создавать свои собственные системы. Первыми осознали необ-
ходимость полномасштабной реализации PKI представители финан-
сового мира, прежде всего, фирмы, занимающиеся электронной
коммерцией. Позже, оценив преимущества внедрения технологии
цифровых сертификатов в банках и других финансовых институтах,
к ним присоединились и компании из других секторов промышлен-
ности.
8.1.1. Entrust/PKI 5.O.
Компания Entrust Technologies - наиболее известный произ-
водитель программных средств поддержки PKI. Основным предло-
жением компании является комплект программных продуктов под
названием Entrust/PKI, с помощью которого компании могут орга-
низовать свои собственные удостоверяющие центры и развертывать
PKI [79]. Поддерживаемые платформы включают Microsoft Windows
NT, Sun Solaris, HP-UX и AIX. В Entrust/PKI используется сервис
ValiCert, который обеспечивает поддержку протокола OCSP (Online
Certificate Status Protocol - протокол онлайнового состояния серти-
фиката). Этот протокол, разработанный фирмой VeriSign Inc., широ-




PDF created with pdfFactory Pro trial version www.pdffactory.com
172___________________ Основы технологии PKI_________________


ко применяется для проверки действительности сертификатов в ре-
жиме реального времени.
Инфраструктура Entrust/PKI состоит из семи основных ком-
понентов: Entrust/Authority, Directory, Entrust/RA, Entrust/Auto RA,
Entrust/Profile Server, Entrust/Timestamp и Entrust/ Entelligence.
Entrust/Authority - центральный компонент системы
Entrust/PKI. Как удостоверяющий центр он используется для выда-
чи Х.509-совместимых цифровых сертификатов, создания пар клю-
чей и управления этими ключами и сертификатами. Он поддержива-
ет защищенную базу данных резервных копий пар ключей шифро-
вания, управляет инициализацией пользователей и запросов на об-
новление ключей, выпускает списки аннулированных сертификатов
и выполняет операции взаимной сертификации с другими удостове-
ряющими центрами. Модуль обеспечивает автоматическое и про-
зрачное обновление ключей пользователей и ключа подписи УЦ.
В системе Entrust/PKI поддерживается иерархическая, одно-
уровневая и гибридная формы взаимной сертификации, что позволяет
организациям формировать архитектуру PKI по своему выбору.
В системе предусмотрен небольшой набор «ролей» с разными пол-
номочиями, включая специалиста службы безопасности, администра-
тора, администратора каталога, аудитора и конечного пользователя.
Каталог Directory обеспечивает хранение сертификатов от-
крытых ключей и списков аннулированных сертификатов и откры-
тый доступ к ним. Связь с каталогом Directory клиентских рабочих
станций, Entrust/Authority, Entrust/Auto RA и Entrust/RA осуществ-
ляется через протокол LDAP.
Entrust/RA выполняет функции регистрационного центра и
поддерживает выполнение заданий администраторов с разными
полномочиями. Представляет собой графический интерфейс систе-
мы Entrust/PKI, используемый администраторами и лицами, ответ-
ственными за информационную безопасность, для управления поль-
зователями и сертификатами, обновления и восстановления пар
ключей, обработки запросов на сертификаты, аннулирования серти-
фикатов, формирования отчетов, аудита и т.п. Благодаря удобному
интерфейсу администратор может изменять отличительные имена
пользователей, добавлять группы новых пользователей, аннулиро-




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________ 8. Программные средства поддержки РК1 ____________ 173


вать их и исключать из списков, изменять некоторые параметры сер-
тификатов (например, сроки действия), а также добавлять и аннули-
ровать имена других администраторов.
Признанный современными стандартами в области PKI способ
поддержки, распространения и проверки списков аннулированных
сертификатов при помощи пунктов распространения САС впервые
был предложен компанией Entrust Technologies. Он заключается
в следующем: весь список состоит только из серийных номеров сер-
тификатов и делится на небольшие блоки (максимум по 750 серти-
фикатов), каждому блоку в момент формирования САС отводится
определенное место, а каждый сертификат содержит указатель на
эту точку входа в список. Таким образом, для проверки статуса сер-
тификата по указанному в нем пункту распространения САС необ-
ходимо выгрузить лишь небольшое подмножество данных об анну-
лировании. Entrust/RA реализует этот способ управления списками
аннулированных сертификатов, а также может выпускать полный
САС для обеспечения совместимости с другими программными
продуктами.
Новые средства управления политикой Entrust/PKI 5.0 позво-
ляют создавать должности операторов РЦ с определенными полно-
мочиями. Управление политикой включает:
• контроль полномочий операторов РЦ по отношению к оп
ределенным пользователям или группам пользователей;
• ограничение функций операторов определенными опера
циями;
• контроль выполнения операций, которые считаются кон
фиденциальными (разделение ответственности между несколькими
операторами РЦ);
• контроль доступа операторов к контрольному журналу;
• контроль возможности операторов делегировать свои пол
номочия другим операторам РЦ.
Entrust/Auto RA позволяет исключить администратора из про-
цесса регистрации и аутентификации пользователей, предоставляя
удаленным пользователям возможности получения цифровых сер-
тификатов и гибкие средства регистрации и аутентификации через




PDF created with pdfFactory Pro trial version www.pdffactory.com
174 ___________________Основы технологии PKI _________________


web-браузеры. Auto RA поддерживает выполнение следующих опе-
раций без участия администратора:
• добавление/восстановление корпоративных пользователей
в Entrust/PKl;
• добавление/восстановление web-пользователей;
• добавление корпоративных пользователей и создание
профилей на сервере;
• создание профилей на сервере для ранее добавленных поль
зователей;
• создание профилей на сервере по номерам ссылок и кодам
авторизации;
• создание/восстановление профилей для роуминга серти
фикатов и ключей.
Auto RA обеспечивает автоматическую регистрацию, предла-
гая пользователям заполнить определенные поля формы, представ-
ленной на web-сервере. При обработке запросов от пользователей
выполняется сравнение соответствующих полей формы, заполнен-
ной пользователем, и полей записей, с которыми работает сервис
аутентификации пользователей (через разделенный секрет). Если
сравнение завершается удачно, выполняется регистрация и соответ-
ствующие данные: номер ссылки и код авторизации для создания
Entrust-профиля, возвращаются пользователю Java-сервлетом.
Entrust/Profile Server обеспечивает хранение профилей поль-
зователей Entrust/PKI и защищенный доступ к ним по названиям и
паролям, вводимым пользователями. После завершения работы в
системе данные пользователя (название профиля и пароль) автома-
тически удаляются из памяти его персонального компьютера.
Entrust/Timestamp - модуль, реализующий защищенное про-
ставление меток времени, то есть позволяющий точно фиксировать
время любых событий в системе Entrust/PKl. Это особенно актуаль-
но для приложений обработки финансовых транзакций и для под-
держки сервисов нотаризации.
Предлагаемая компанией Entrust Technologies инфраструкту-
ра открытых ключей представляет собой хорошо проработанную
систему, но лишь при использовании вместе с клиентским приложе-
нием для настольных систем Entelligence [43].




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________8. Программные средства поддержки РК1____________ 175


Entrust/Entelligence обеспечивает связь Zfo/ratf-совместимых
приложений с основными компонентами системы Entrust: RA, Auto
RA и Directory, предоставляет возможности однократной регистра-
ции пользователей при работе с этими приложениями и единого
входа в Entrust/PKI, а также поддержки журнала аудита с указанием
времени событий. Клиентский компонент Entelligence автоматиче-
ски и прозрачно управляет сертификатами, шифрованием, цифро-
выми подписями и выполняет другие функции защиты от имени
пользователя.
Иногда бывает необходимо обеспечить полностью управляе-
мое PKI-решение для Web, не предусматривающее развертывания
клиентского программного обеспечения. Это может быть достигну-
то при помощи модуля Entrust/True Pass, который поддерживает
шифрование, операции с цифровой подписью и роуминг сертифика-
тов при помощи браузера. Применение True Pass целесообразно при
решении задач взаимодействия «бизнес-бизнес» и «бизнес-
заказчики», где отсутствует контроль за рабочим местом пользова-
теля и не используется корпоративный межсетевой экран.
Основным пунктом администрирования в системе Entrust/PKI
является Entrust/Master Control, он позволяет главному администра-
тору выполнять все необходимые функции по администрированию
базы данных, такие, как резервное копирование, проверка информа-
ционного наполнения и, если необходимо, повторное шифрование.
Помимо перечисленных компонентов в Entrust/PKI возможно
использование ряда дополняющих программных продуктов:
Entrust/Web Connector - позволяет администраторам выпус-
кать web-сертификаты для стандартных web-браузеров и серверов
приложений, которые применяют протоколы S/MIME и SSL;
Entrust/Commerce Connector - позволяет администраторам
выпускать SET-сертификаты для участников системы расчетов по
платежным картам через Интернет;
Entrust/VPN Connector - распространяет сертификаты для
устройств виртуальных частных сетей, таких, как маршрутизаторы,
VPN-шлюзы, межсетевые экраны и устройства удаленного доступа,
которые используют стандартные запросы на сертификаты (формата
PKCS#10) или протоколы Cisco CEP/SCEP;




PDF created with pdfFactory Pro trial version www.pdffactory.com
176 __________________ Основы технологии PKI _________________


Entrust/WAP Connector - обеспечивает выпуск сертификатов
WAP-серверов и других цифровых сертификатов для обеспечения
безопасности мобильных устройств и ряда приложений, например
серверов электронной коммерции;
Entrust/Desktop Designer - позволяет администратору полно-
стью настроить установки настольной системы и создать отдельный
файл установок.
В качестве дополнения Entrust Technologies предлагает также
семейство интерфейсов прикладного программирования высокого
уровня и инструментальные средства разработки для встраивания
функций защиты в различные приложения.
Итак, по оценкам специалистов [79], сильной стороной
Entrust/PKl является прозрачность интерфейса между системой и ко-
нечным пользователем. Интерфейс обеспечивает единую точку вхо-
да для пользователей и любых приложений, реализующих крипто-
графические функции и операции с цифровыми подписями.
Entrust/PKI полностью интегрирует клиента в PKI, гарантируя про-
зрачность обновления ключей, автоматическое управление жизнен-
ным циклом сертификатов и ключей, легкость восстановления клю-
чей и тщательную проверку списков аннулированных сертификатов.
Модули Auto RA и True Pass привлекательны для компаний, же-
лающих предоставлять PKI-сервисы для внешних пользователей,
в тех случаях, когда не может использоваться клиентское программ-
ное обеспечение и должна быть обеспечена автоматическая регист-
рация. Определенный интерес для больших корпораций представля-
ет роуминг клиентов, позволяющий пользователям Entrust/РЮ пе-
ремещаться с компьютера на компьютер без необходимости перено-
сить за собой Entrust-профили. Важным достоинством программного
продукта Entrust/PKl 5.0, является его интеграция с аппаратными
средствами аутентификации, например, с устройствами считывания
смарт-карт и биометрическими устройствами.
8.1.2. Baltimore UniCERT 5.0
Компания Baltimore Technologies LTD, известная своими ра-
ботами в области алгоритмов шифрования и защищенного обмена
сообщениями, предлагает свое программное обеспечение инфра-
структуры открытых ключей. Программный комплекс UniCERT 5.0




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки РК1 ____________ 177


позволяет обеспечить работу корпоративного УЦ, поддерживает
управление ключами, аутентификацию, реализует функции неотка-
зуемости в системах электронной почты, Интернет-коммерции, Ин-
тернет-банкинга, в виртуальных частных сетях. Кроме перечислен-
ных функций UniCERT предлагает и ряд дополнительных механиз-
мов [37]:
• создание цифровых сертификатов на физических носите
лях (например, смарт-картах или токенах SecurlD);
• использование современного протокола OCSP, значитель
но ускоряющего процесс проверки сертификатов;
• совместную работу с различными системами документо
оборота (например, с Lotus Notes);
• использование шаблонов сертификатов для различных
приложений; интеграцию с решениями компании Cisco.
Своей высокой эффективностью система Baltimore UniCERT
во многом обязана модульной структуре, обеспечивающей гибкость
благодаря возможности добавлять и изменять компоненты в зависи-
мости от потребностей организации. Программный комплекс
Baltimore UniCERT (см. рис. 8.1) подразделяется на базовое про-
граммное обеспечение UniCERT Core и усовершенствованное -
UniCERT Advanced [143].
В состав UniCERT Core входят все необходимые для развер-
тывания PKI программные модули: компоненты удостоверяющего
(Certificate Authority, Certification Authority Operator и Publisher) и
эегистрационного (Registration Authority, Web Registration Authority
Operator, Protocol Handlers и Utilities) центров.
Главным модулем, реализующим функции УЦ по генерации
:ертификатов и пар ключей, является Certificate Authority (СА).
"рафический пользовательский интерфейс системы облегчает инте-
рацию в существующую инфраструктуру, а ее открытый, опираю-
щийся на стандарты формат улучшает функциональную совмести-
юсть. СА получает одобренные запросы на выдачу и аннулирова-ие
сертификатов от регистрационного центра и операторов УЦ,
одписывает и публикует сертификаты конечных пользователей и
объектов инфраструктуры, а также списки аннулированных серти-
икатов и аннулированных центров в PKI-системе. Кроме того, СА




PDF created with pdfFactory Pro trial version www.pdffactory.com
178 Основы технологии РК1


подписывает все сообщения УЦ и сертификаты для других удосто-
веряющих центров (подчиненных или связанных с ним отношения-
ми взаимной сертификации), политика его операционной работы
контролируется оператором удостоверяющего центра.




Рис. 8.1. Структура Baltimore UniCERT

При конфигурировании УЦ генерируются пары ключей для
самого удостоверяющего центра и его оператора, формируется про-
филь УЦ. Профиль УЦ задает отличительное имя УЦ, длину клю-
чей, алгоритмы шифрования и цифровой подписи, формат сертифи-
ката, опции каталога и т.д. Пары ключей могут генерироваться про-
граммно или на смарт-картах/токенах. СА осуществляет верифика-
цию всех получаемых удостоверяющим центром сообщений, данные
и журналы аудита хранятся в базе данных УЦ.




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI ____________ 179


Модуль Certification Authority Operator (CAO) - оператор УЦ,
контролирует безопасность PKI, все функции администрирования и
управляет привилегиями других модулей и операторов UniCERT.
В системе PKI может работать несколько операторов САО. На опе-
ратора УЦ возлагаются следующие обязанности:
• разработка политики регистрации;
• поддержка групп авторизации и операционных политик
основных модулей инфраструктуры (СА, RA)\
• добавление новых субъектов в инфраструктуру (регистра
ционных центров, подчиненных УЦ);
• управление выпуском сертификатов для субъектов PKI (дру
гих операторов УЦ и регистрационных центров, подчиненных УЦ);
• аннулирование любого сертификата в системе;
• просмотр всех выпущенных УЦ сертификатов и журналов
аудита.
Модуль Publisher управляет публикациями СА, поддерживает
множественные удостоверяющие центры и каталоги (LDAP), реали-
зует гибкие схемы публикации в различных каталогах сертификатов
удостоверяющих центров и конечных пользователей, списков анну-
лированных сертификатов и аннулированных центров, создает точки
входа в каталоги в соответствии с отличительными именами субъек-
тов сертификатов.
Модуль регистрационного центра Registration Authority (RA)
осуществляет связь между операторами Web RAO, модулями управ-
ления протоколами Protocol Handlers и модулем СА. RA направляет
удостоверяющему центру полученные от Web RAO и Protocol
Handlers запросы о выдаче и аннулировании сертификатов, а также
получает от СА сертификаты и сообщения и делает их доступными
для Web RAO и Protocol Handlers. Модуль RA делит систему PKI на
операционные домены - отдельные структуры, связанные с УЦ. Каж-
дый РЦ руководствуется своей операционной политикой, которая
поддерживается централизованно (через УЦ). Модуль RA иниции-
рует возобновление сертификата, если срок действия сертификата
конечного пользователя истекает и соответствующая политика дик-
тует необходимость выпуска нового сертификата. RA подписывает




PDF created with pdfFactory Pro trial version www.pdffactory.com
180___________________Основы технологии PKI_________________


цифровым образом все отправляемые им сообщения и проверяет на
целостность и аутентичность все получаемые сообщения.
Операторы регистрационного центра Web Registration Authority
Operators (Web RAO) выполняют авторизацию запросов о выдаче и
аннулировании сертификатов и управляют регистрацией «лицом к
лицу» (в личном присутствии заявителей). Оператор РЦ должен га-
рантировать подлинность информации и документов, представлен-
ных лицом, запрашивающим сертификат. Если в подлинности доку-
ментов нет сомнений, то запрос принимается и размещается в базе
данных РЦ, а затем направляется на подпись в удостоверяющий
центр. Если представленные документы не удовлетворяют оператора
РЦ, то запрос на сертификат отвергается. Операторы Web RAO
принадлежат к одной или нескольким группам авторизации и могут
обрабатывать только те запросы, которые соответствуют политикам
регистрации, установленным операторами удостоверяющего центра
САО для этих групп авторизации.
Модули Protocol Handlers управляют запросами на базе про-
токолов Web, SCEP, PKIX CMP и электронной почты. Запросы о
выдаче или аннулировании сертификатов передаются RA для даль-
нейшей обработки.
Кроме того, UniCERT Core содержит ряд утилит Utilities для
управления токенами и сервисами, генерации ключей и настройки
базы данных.
UniCERT Advanced объединяет модули, разработанные с уче-
том специфических требований крупных предприятий и поставщи-
ков услуг: Advanced Registration Module, Key Archive Server,
Roaming, XKMS Server, Timestamp Server и Telepathy Registration
System.
Advanced Registration Module (ARM) представляет собой ав-

<< Пред. стр.

страница 20
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign