Азбука на инфраструктурата PKI
Да дешифрираме сложната задача “получаване на публичен ключ”.Концепцията за инфраструктура с публичен ключ (PKI) е относително ясна, но инсталирането на PKI във вашата мрежа може да се окаже сложна и дори страховита задача. Основната идея е да се защитят особено важните за компанията данни чрез криптиране. Всяко крайно клиентско устройство притежава криптиращ софтуер и два вида ключове – публичен ключ, който се изпраща до останалите потребители, и частен ключ, който се пази от притежателя си. Потребителят криптира съобщението, използвайки публичния ключ на получателя. Когато получи файла, клиентът ще го декриптира с помощта на своя частен ключ. Потребителите могат да имат по няколко двойки ключове, за да поддържат защитени комуникации с различни групи. За да се оправите с всички тези ключове, ви е необходим някакъв метод за администрирането им и начина на тяхната употреба. Тук на помощ идва PKI. Тя позволява централизирано създаване, разпределение, проследяване и отхвърляне на ключовете. Всичко започва с автентификацията Първата стъпка при инсталирането на PKI е установяването на система за автентификация, така че потребителите да могат да бъдат идентифицирани еднозначно, преди да получат мрежовите си права. Един от начините е чрез връзка (logon), базирана на пароли, но по-сигурен метод за автентификация е чрез цифровите сертификати. Всеки сертификат съдържа специфична информация за потребителя, включително името му, публичния ключ и уникалния му цифров подпис, който свързва потребителя със сертификата. За да получи сертификат, потребителят изпраща заявка към регистрационно ведомство, което проверява самоличността на потребителя и съобщава на сертифициращото ведомство (CA), което издава сертфиката. На практика той представлява цифров документ, който се записва и администрира в централна директория. Сертификатът на потребител, работещ вкъщи, се записва на неговата система. И в двата случая сертификатът се предава автоматично, когато е необходим, без да се прекъсва работата на потребителя. CA проверява автентичността на сертификата за получателя, като операцията отново е напълно прозрачна за потребителя. Разбира се, сертификатите не са вечни. Всеки от тях се издава с определен срок на валидност и понякога може да бъде анулиран преждевременно, ако служителят напусне напр. Сертификационното ведомство може да анулира сертификат преди крайната дата на валидност, като го впише в периодично публикуваните списъци с анулирани сертификати. Както в случая с двойката ключове, издаването и анулирането на сертификатите трябва да се координира. Това е друга важна функция на PKI. Тя действа като архитектура, обхващаща управлението на ключове, регистрационното и сертифициращото ведомства, както и различни административни настройки. PKI софтуерът се включва в различни пакети, в зависимост от разработчика и търговеца. Сред фирмите, предлагащи PKI продукти, са Entrust Technologies, Baltimore Technologies, RSA Security и VeriSign. Във всеки отделен случай обаче е необходим някаккъв допълнителен инструмент – CA, управление на ключове и сертификати, или архивиране и възстановяване на ключове. PKI изисква централизирана директория Обикновено тя е вградена в PKI като място, в което се записват и търсят сертификати, както и друга съответстваща информация. Вие можете вече да имате директория за поддръжка на съществуващите приложения като електронна поща например. Ако тя е съвместима с протоколите LDAP (Lightweight Directory Access) или X.500, вероятно е съобразена с изискванията на PKI. Въпреки това директорийните системи не винаги се разбират добре една с друга и могат да объркат вашите PKI усилия, особено ако в директорията освен PKI се поддържат и други видове клиентски приложения. Липсата на директорийна съвместимост накара производителите да създадат Directory Interoperability Forum, който да помогне за решаване на проблема. Друг елемент на PKI е сертификационната политика, която описва правилата за използване на PKI и сертификатите. Ако потребителят сгреши и подели без да иска своя частен ключ напр., той трябва да предупреди служителите по сигурността или сертификационното ведомство. Как да се реагира при подобни събития е критично за работата на PKI и обикновено се определя от специален документ за сертификационната практика (CPS). Сертификационната политика и CPS обикновено се пишат след консултации между ИТ отдела, различните потребителски групи и правните специалисти. CPS осигурява подробно обяснение на начина, по който сертификационното ведомство управлява сертификатите, които издава, както и допълнителните услуги като управление на ключовете. CPS изпълнява и ролята на договор между CA и потребителите. Той описва задълженията и правните ограничения, служи като основа за бъдещи одити. Производителите на PKI продукти могат да ви доставят примерен CPS, с който да работите. Подобно на другите ИТ инфраструктури, персоналът трябва да настройва, администрира, коригира и управлява PKI. Да се намерят подобни специалисти е много важно, но може да се окаже и доста трудна задача. Търсенето на компетентен персонал за поддръжка на PKI системите все повече нараства. За начало ви е необходим директор по сигурността, който ще отговаря за създаването и администрирането на вашата политика за сигурност. Този човек може да не е част от ИТ екипа, но трябва да разбира от издадените сертификати и може би се нуждае от гарантирани връзки. Следва назначаването на PKI архитект, който ще спази всички изисквания при проектирането на вашата PKI система. Той може да помогне при внедряването като шеф на проекта. За текущите задачи вече е необходим PKI администратор. Той ще използва средствата за управление на CA, за да добавя потребители, да разрешава и анулира техните сертификати. Ще ви трябва и администратор на директорията, както и някой, който ще работи като регистратор, въпреки че може да изберете и автоматична регистрация. Тя ще се грижи за потребителските заявки, изпращани през Web браузъри. В този случай можете да ползвате и сегашните си служители, като администратора на БД, който ще помогне за създаването и поддръжката на автоматичната регистрация. Трябва ли ви PKI? За да инсталирате една PKI система, са ви необходими доста усилия, време и пари. Струва ли си да ги инвестирате? Правилният въпрос обаче е „Изисква ли моят бизнес подобряване на сигурността и може ли PKI да помогне?“ Повечето потребители нямат мнение, поне засега, но управляващият екип трябва да има. Особено по въпроса какво влияние върху целия бизнес ще окаже един пробив в сигурността. Да доведеш босовете до идеята да купят PKI е критично, така че трябва да разберете какво мислят при предварителните обсъждания. Някои услуги са потенциални кандидати за PKI – електронната поща, защитеният файлов пренос, управлението на документи, отдалеченият достъп, е-търговията и Web базираните транзакции. Поддръжката на неотхвърляне, която гарантира, че транзакциите няма да бъдат отречени, също изисква използване на цифрови сертификати. Освен това в безжичните мрежи и VPN структурите криптирането е изключително важно за гарантиране на конфиденциалността. В корпоративната мрежа и електронната търговия може да се ползва друго PKI решение – една точка на свързване (sign-on). По Computerworld
КОМЕНТАРИ
"Азбука на инфраструктурата PKI "
