Практика PKI




"ДиалогНаука" рассказывает, как построить rкорпоративную инфраструктуру открытых ключей

11:19 28.10.2008   |   1189 |  Валерий Коржов |



Использование криптографии с открытым ключом в России регулируется принятым несколько лет назад законом "Об ЭЦП" Электронный документооборот, электронная торговля, электронное правительство не может существовать без инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Только она может обеспечить аутентификацию участников электронного обмена, неизменность самих распространяемых документов и автоматизированное распространение ключей шифрования для создания защищенных каналов связи. Использование криптографии с открытым ключом в России фактически регулируется законом "Об ЭЦП". Хотя он принят уже несколько лет назад, практика его использования до сих пор не сложилась. Своими наработками в этой области поделились представители компании "ДиалогНаука" на семинаре "Практические аспекты создания инфраструктуры открытых ключей на предприятии", который прошел 23 октября.

Следует отметить, что международные системы выдачи сертификатов, такие как Verisign, RSA, Wisekey, Thawte, Cyber Trust и другие не соответствуют российскому закону "Об ЭЦП" в части сертификации используемых алгоритмов. В то же время российская национальная система доверия, которая соответствует указанному выше закону, не может быть включена в международные системы опять же из-за использования национальных, а не международных алгоритмов. Иными словами, существует как минимум два "пространства доверия" - международное и российское, которые не могут быть совмещены друг с другом. Поэтому при построении корпоративной инфраструктуры открытых ключей компания должна решить, в какое пространство доверия она будет входить, и из какой системы ей нужно получать сертификат для корневого удостоверяющего центра.

Собственно, на сегодняшний день вариантов три: подключиться можно в международное пространство доверия, в российское, соответствующее закону "Об ЭЦП" или в собственное со своим корневым сертификатом. Какой же вариант выбрать? Исходить нужно из цели построения PKI. В случае построения юридически значимого документооборота действительно нужно соответствие российскому закону "Об ЭЦП" - для разбора конфликтных ситуаций. В то же время для установления каналов связи, особенно посредством SSL, или при использовании защищенной электронной почты лучше иметь сертификаты международных систем, чтобы не ограничивать поле действия сертификатов рамками организации. Корпоративная система управления "цифровыми правами" (Digital Right Management, DRM) и аутентификация не так критичны к используемым сертификатам, и для них пространство доверия можно выбирать в зависимости от других параметров проекта.

Для построения PKI нужно выбрать технологическую платформу, разработать архитектуру системы и регламент ее использования, разработать пакет документов для легализации сертификатов и провести процедуру генерирования сертификата для корневого удостоверяющего центра. При этом IETF в свое время даже выработала рекомендации для разработки регламента удостоверяющего центра - RFC 3647.

Российским стандартам сейчас удовлетворяют как минимум два удостоверяющих центра - Microsoft CA и RSA Keon, в которых интегрирована библиотека российского шифрования от компании "Крипто Про". Кроме этого можно использовать еще коммерческий продукт Baltimore UniCERT или открытый OpenCA. При этом Microsoft CA входит в состав операционной системы Windows Server 2003/2008, а OpenCA вообще распространяется бесплатно.

Архитектура PKI может состоять из следующих компонентов: корневого сервера, удостоверяющих центров для различных доменов и серверов регистрации, которые представляют собой Web-интерфейсы для работы пользователей с сертификатами. При этом корневой сервер, хранящий секретный ключ всей системы во избежание компрометации, вообще рекомендуется выключать из сети, - как компьютерной, так и силовой - и держать в специальном сейфе. Включать его достаточно раз в полгода для подписания списка отозванных сертификатов и добавления новых удостоверяющих центров, эти списки рекомендуется распространять на отчуждаемых носителях.

Впрочем, компании совсем не обязательно строить собственную корпоративную инфраструктуру PKI - можно покупать уже готовые сертификаты. Особенно это касается российского пространства доверия, сертификаты которого нужны только для общения с государственными органами, а их может быть немного. Небольшим компаниям, скорее всего, будет удобно разворачивать международную систему удостоверяющего центра для организации защищенной системы связи, аутентификации и DRM и покупать несколько российских сертификатов для общения с госорганами и участия в юридически значимом документообороте.


Теги: