LINEBURG


<< Пред. стр.

страница 22
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

батывается удостоверяющим центром. В противном случае запрос
остается в очереди РЦ до тех пор, пока не будет авторизован админи-
стратором. Как только сертификат выпущен, он автоматически за-
гружается в браузер пользователя. В процессе регистрации выпол-
няется аутентификация клиента и сервера, доставка сертификатов
субъектам и осуществляется сквозное шифрование всех данных.
Другой формой регистрации может быть так называемая
«предварительная» регистрация, когда запрос на сертификат для од-
ного пользователя поступает от другого пользователя, обычно адми-
нистратора. Администратор ищет РЦ по идентификатору транзакции,
паролю или унифицированному указателю р есур сов (URL)




PDF created with pdfFactory Pro trial version www.pdffactory.com
190 __________________Основы технологии РК1________________

и направляет запрос на сертификат, после одобрения регистрацион-
ным центром запрос передается пользователю в личном присутст-
вии, по телефону, по электронной почте или в виде файла предвари-
тельной регистрации. При помощи клиентского приложения Trust
Authority Client конечный пользователь может легко получить сер-
тификат без использования браузера или необходимости что-либо
знать о процессе регистрации.
Процедуры обработки запросов об обновлении или аннулиро-
вании сертификата выполняются аналогично процедуре регистрации.
Приложение Trust Authority Client позволяет пользователям
просматривать информацию обо всех сертификатах системы, в том
числе их статус, назначение и дату окончания срока действия, ин-
формацию о персональных сертификатах (алгоритм шифрования,
размер ключа и период действия сертификата, информацию об УЦ,
который выпустил данный сертификат), а также экспортировать
сертификаты в существующие РК1-приложения.
Сервер аудита Audit Server обеспечивает выполнение сле-
дующих действий:
• получение информации о событиях, подлежащих аудиту,
от клиентов аудита, таких, как РЦ и УЦ;
• фиксирование событий в журнале аудита (для каждого со
бытия формируется одна запись);
• обеспечение возможности клиентов маскировать (фильт
ровать) события аудита для управления размером журнала аудита;
• вычисление кода аутентификации сообщения для каждой
записи аудита;
• проверка целостности базы данных аудита и записей ауди
та, хранимых в архиве;
• архивирование и подписание текущего состояния базы
данных аудита (изоляция целостности).
По оценкам специалистов компании NSS Group [79], IBM
Trust Authority - функциональное PKI-решение с гибким и удобным
для пользователя интерфейсом. Благодаря тому, что регистрационный
центр представлен набором Java-скриптов, web-страниц и текстовых
файлов конфигурации, Trust Authority предлагает расширенные
возможности настройки. С другой стороны, использование Java-




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки PKI ____________ 191


технологии порождает проблемы совместимости браузеров (это от-
носится только к компонентам RA Desktops и Client). Существенным
недостатком является не очень удобное администрирование УЦ
и необходимость использовать сервисные программы с большим
количеством командных строк для изменения установок САС, гене-
рации запросов на взаимную сертификацию и проверки журналов
регистрации, а также отсутствие в текущей версии автоматического
возобновления, резервного копирования, восстановления ключей и
управления их историями. Стоимость программного продукта Trust
Authority выгодна для небольшого числа пользователей, но быстро
растет при увеличении масштаба реализации.
8.1.5. RSA Keon Certification Authority 6.5
Компания RSA Security Inc. предлагает свое программное
обеспечение инфраструктур открытых ключей - программный ком-
плекс Keon Certification Authority 6.5 и модули Registration Author-
ity, WebSentry, Key Recovery Module, Secure E-mail Module. Подобно
компаниям Baltimore Technologies и Entrust Technologies, компа-
ния RSA разработала систему PKI для тех организаций, которые хо-
тят самостоятельно управлять своей инфраструктурой открытых
ключей и сопровождать ее. RSA Keon Certification Authority может
использоваться для развертывания корпоративной PKI или встраи-
вания существующей инфраструктуры в новую, более масштабную
PKI.
Комплекс RSA Keon Certification Authority (CA) предназначен
для выпуска, управления и проверки действительности сертифика-
тов. Он разрабатывался как интегрированное хранилище системных
данных и информации о сертификатах и их статусе, может исполь-
зоваться для публикации каталогов LDAP или внешних баз данных
(для хранения сертификатов). RSA Keon СА поддерживает стандарт
Х.509, криптографические аппаратные токены, онлайновый прото-
кол проверки статуса сертификата OCSP.
Центральными компонентами архитектуры RSA Keon CA явля-
ются серверы администрирования Administration Server, регистрации
Enrollment Server, защищенного каталога Secure Directory Server и
протоколирования событий Logging Server [81]. Серверы обычно
размещаются на одном компьютере. Administration Server использу-




PDF created with pdfFactory Pro trial version www.pdffactory.com
192___________________ Основы технологии PKl_________________


ется для администрирования PKI. Пользователи обращаются с за-
просами на сертификаты через сервер регистрации. Запросы на сер-
тификаты, выпущенные сертификаты и списки управления доступом
хранятся в Secure Directory Server. Сервер протоколирования собы-
тий регистрирует действия администраторов, лиц, обращающихся с
запросами на сертификаты, и других пользователей.
Administration Server
Для защищенной связи с сервером администрирования (по
протоколу HTTPS) и доступа к функциям RSA Кеоп СА админист-
раторы PKI используют web-браузер. Интерфейс администратора
содержит четыре отдельных компонента, называемых автоматизи-
рованными рабочими местами (АРМ), они позволяют администра-
торам выполнять операции с сертификатами, операции с удостове-
ряющими центрами, операции администрирования и конфигуриро-
вание системы.
При помощи АРМ оперирования с сертификатами админист-
раторы могут просматривать все запросы на сертификаты, прини-
мать решение об одобрении, удалении или отсрочке запроса, а также
просматривать выпущенные сертификаты и управлять ими: возоб-
новлять, аннулировать или приостанавливать их действие. RSA Кеоп
СА поддерживает проверку статуса сертификатов не только в он-
лайновом режиме, но даже в реальном времени.
АРМ оперирования с удостоверяющими центрами позволяет
администраторам обеспечивать взаимодействие между удостове-
ряющими центрами: создавать новые локальные удостоверяющие
центры, просматривать информацию о них, оценивать надежность
внешних удостоверяющих центров и импортировать их в PKI. АРМ
обеспечивает доступ к сертификатам удостоверяющих центров,
а также их замену или экспорт в другую инфраструктуру открытых
ключей.
АРМ конфигурирования системы предоставляет администра-
торам средства генерации списков управления доступом и настрой-
ки режимов протоколирования. Списки управления доступом к каж-
дому сертификату или группе сертификатов по выбору администра-
тора задаются непосредственно им самим или генерируются автома-
тически. Настройка режимов протоколирования заключается в зада-




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________8. Программные средства поддержки PKI ____________ 193


нии администратором тех событий в системе, которые должны реги-
стрироваться, например, доступ к определенным файлам или ката-
логам УЦ.
АРМ администрирования обеспечивает работу администрато-
ров с учетом их полномочий. В RSA Кеоп СА реализован «ролевой»
подход к администрированию PKI. Так, например, администрато-
рам, ответственным за верификацию запросов пользователей на сер-
тификаты, может быть не разрешен доступ к АРМ конфигурирования
системы. Тем не менее, в системе допускается делегирование пол-
номочий.
Enrollment Server
Сервер регистрации является самым видимым для конечного
пользователя компонентом RSA Кеоп СА. Пользователь, желающий
получить сертификат открытого ключа, связывается с сервером ре-
гистрации через web-браузер (по протоколу HTTPS), вводит свои
данные в форму запроса на сертификат и подписывает запрос. Пара
ключей пользователя генерируется на компьютере, смарт-карте или
токене пользователя, и открытый ключ отправляется серверу реги-
страции. Секретный ключ всегда хранится на компьютере или токе-
не владельца и никому не передается. Подписанный запрос на сер-
тификат обрабатывается администратором через сервер админист-
рирования, в случае одобрения запроса пользователю направляется
по электронной почте сообщение с URL-адресом подписанного сер-
тификата.
Сервер защищенного каталога Secure Directory Server предна-
значен для хранения объектов, к которым обеспечен доступ RSA
Кеоп СА: сертификатов, запросов на сертификаты и списков управ-
ления доступом. Внешним приложениям разрешен доступ к этим
объектам (по протоколу LDAP) только для чтения. К функциям сер-
вера Secure Directory Server относится также поддержка токенов для
использования аппаратных модулей безопасности и механизма элек-
тронной цифровой подписи, правила доступа к которому устанавли-
ваются для каждого удостоверяющего центра в системе PKI.
Logging Server используется для протоколирования активности
серверов администрирования, регистрации и защищенного каталога
по правилам, установленным администратором PKI в соответствии




PDF created with pdfFactory Pro trial version www.pdffactory.com
194 Основы технологии PKI


с требованиями аудита в организации. Сведения об активности каж-
дого сервера регистрируются в отдельной области сервера протоко-
лирования событий.




a
I
П



0=5
Bogging Server




]
Secure Directory Механизм ЭЦ
Server 1д»инщ_
SSL-LDAP SSL-LDAP SSL




a
SSL-LDAP

Web ce Be
1 ---------- k ------- k - P P | -----------
w
^ШЯНЯЯ ^ИШша ^ДДШН
OSCP Administration Enrollment
SCEP Server
Responder Server Server



htlps https

Администратор Пользователь

Рис. 8.3. Архитектура RSA Кеоп СА
Необязательный модуль RSA Кеоп Registration Authority (RA)
предназначен для верификации идентификационных данных поль-
зователей (имен и паролей), содержащихся в запросах на сертифика-
ты, и доставки сертификатов пользователям. RSA Кеоп RA реализу-
ет те же функции, что и RSA Кеоп СА, за исключением подписания
запросов на сертификаты. Один модуль RSA Кеоп RA может обра-
батывать запросы на сертификаты только для одного удостоверяю-
щего центра.
Модуль RSA Кеоп Key Recovery Module (KRM), который мо-
жет использоваться вместе с RSA Кеоп СА, предназначен для защи-
щенного хранения в архиве и восстановления ключей шифрования
пользователей. RSA Кеоп KRM предоставляет возможности автома-




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________8. Программные средства поддержки РК1 ____________195


тического формирования ключа шифрования в процессе регистра-
ции пользователей. После получения сертификата открытого ключа
подписи пользователь выбирает через web-браузер режим формиро-
вания ключа шифрования. Секретный ключ шифрования централи-
зованно генерируется аппаратным криптографическим модулем
nCipher и защищенным образом передается конечному пользователю
вместе с сертификатом ключа шифрования.
Для контроля доступа к web-сайту или его определенным об-
ластям организации часто используют ограничения на IP-адреса,
имена и пароли пользователей. Вместо устаревших методов интел-
лектуального IP-спуфинга (средств имитации соединений) и исполь-
зования списков распределения имен и паролей пользователей, ком-
пания RSA Security Inc. предлагает другое решение - модуль RSA
Keon WebSentry Plug-in. Это опциональное решение для работы с
RSA Keon CA позволяет расширить возможности web-сервера по
управлению сертификатами. При помощи RSA Keon CA модуль
WebSentry (см. рис. 8.4) проверяет действительность сертификата,
причем проверка выполняется всякий раз, когда требуется доступ к
web-сайту. Это позволяет обеспечить подход «нулевой толерантно-
сти» к аутентификации и управлению доступом пользователей.
Программный комплекс RSA Keon CA обеспечивает поддерж-
ку интеграции с Microsoft Exchange Server и клиентским почтовым
приложением Microsoft Outlook. Использование RSA Keon CA вме-
сте с модулем защищенной электронной почты RSA Secure E-mail
Module позволяет конечным пользователям шифровать и подписы-
вать важные почтовые сообщения (в том числе и вложения) таким
образом, чтобы их могли прочитать только получатели-адресаты.
Модуль Secure E-mail Module предоставляет организациям возмож-
ности:
• поддержки интегрированного решения защищенной элек-
гронной почты на базе стандартного клиентского программного
)беспечения Microsoft Outlook E-mail client;
• автоматического конфигурирования приложения элек-
ронной почты и использования цифровых сертификатов, получен-
ых пользователями при регистрации в системе PKI, для подписания
шифрования почтовых сообщений;




PDF created with pdfFactory Pro trial version www.pdffactory.com
196 Основы технологии РК1


• публикации сертификатов в списке глобальных адресов
(Global Address List - GAL) сервера Microsoft Exchange Server, обес-
печивающей доставку защищенных почтовых сообщений любого
пользователя системы другим пользователям без предварительного
взаимодействия.
RSA Кеоп
Certificate
коммуникации по
Authority
протоколу HTTPS




Web-серверы

коммуникации по
протоколам
SSL-LDAP




Web-браузеры




Рис. 8.4. Взаимодействие компонентов RSA Кеоп СА и WebSentry
Шифрование сообщений электронной почты может быть пер-
вым шагом на пути использования функций PKI в корпоративной
информационной системе. Важным преимуществом программного
комплекса RSA Кеоп СА является недавно реализованная поддержка
российских алгоритмов шифрования и электронной цифровой под-
писи.
Сравнительная характеристика описанных программных про-
дуктов с учетом результатов их тестирования специалистами NSS
Group [79] представлена в приложении 2.
8.1.6. Интеграция функций PKI в операционные системы
Современной тенденцией является интеграция функции PKI в
серверные операционные системы. Это движение было начато компа-
нией Novell с сервисами Public Key Infrastructure Services (PKIS) 2.0,




PDF created with pdfFactory Pro trial version www.pdffactory.com
___________ 8. Программные средства поддержки РК1_____________ 197


поставляемыми вместе с сетевой операционной системой NetWare.
PKIS позволяют использовать цифровые сертификаты и шифрова-
ние с открытыми ключами внутри сети на базе Novell Directory
Services (NDS). NDS - многоплатформенная служба каталога для
распределенной сети, которая предоставляет в распоряжение поль-
зователей, разработчиков и администраторов инструмент доступа ко
всем сетевым ресурсам через одну точку регистрации, одну точку
управления сетью, дает возможность пользоваться гибкой и масшта-
бируемой схемой базы данных каталога и гарантирует высокий уро-
вень безопасности.
Управление сертификатами осуществляется с помощью ути-
литы NWAdmin в составе операционной системы NetWare. Утилита
обеспечивает единую точку администрирования открытых ключей и
сертификатов. PKIS поддерживают корпоративный удостоверяю-
щий центр и может передавать выданные внутри компании серти-
фикаты третьим лицам, например, компаниям VeriSign или GTE
Cybertrust, для получения дополнительной цифровой подписи, но
вместе с тем возможности продукта позволяют обойтись без участия
независимых удостоверяющих центров [24].
PKIS обеспечивают хранение и управление жизненным цик-
лом ключей и сертификатов с помощью NDS.
В операционной системе Microsoft Windows 2000 в полном
объеме реализована иерархическая инфраструктура открытых клю-
чей, главным компонентом которой являются службы сертификации
Microsoft Certificate Services. Они позволяют развернуть на пред-
приятии или в организации один или несколько удостоверяющих
центров. Удостоверяющие центры могут быть интегрированы со
службой каталогов Active Directory, которая обеспечивает их ин-
формацией о выпуске и аннулировании сертификатов, пользовате-
лях и политике УЦ. PKI взаимодействует с существующими меха-
низмами доверия и аутентификации доменов Windows 2000, в осно-
ве которых лежат контроллер домена и центр распределения ключей
Kerberos.
Службы сертификации содержат применяемый по умолчанию
модуль политики, который можно использовать для выдачи серти-
фикатов пользователям, компьютерам и службам. На всех рабочих




PDF created with pdfFactory Pro trial version www.pdffactory.com
198 Основы технологии РК1

станциях и серверах, которые работают под управлением операци-
онных систем Microsoft Windows, обеспечена поддержка приложе-
ний, использующих криптографию с открытыми ключами. Крипто-
графический интерфейс CryptoAPI 2.0 обеспечивает стандартный

<< Пред. стр.

страница 22
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign