PKI – технологія масового просування
Віктор Попов, Олексій Лукацький
Наприкінці 70-х років XX століття було обґрунтовано можливість створення електронного цифрового підпису (ЕЦП) і практично відразу з'явилися алгоритми, що її реалізують. Все, що відбувалося відтоді до цього часу, можна вважати періодом зародження інфраструктури з відкритим ключем – Public Key Infrastructure, PKI.
Як стандарт, що описує PKI-рішення, виступає X.509, що розвивається з 1988 р. і регламентує формат цифрових сертифікатів. Власне, із сертифікату і починається універсалізація, що забезпечує єдині механізми захисту для вирішення різних завдань, наприклад:
- внутрішній документообіг у корпоративній мережі;
- Доступ до мережевих пристроїв;
- Доступ до Web-вузлів;
Спробуємо, однак, спрогнозувати недалеке майбутнє PKI в Україні. Відомо, що основною перешкодою для технологічних новацій в нашій країні є принципові технологічні розбіжності з усім іншим світом, що дісталися нам з часів царського режиму і Радянського Союзу (наприклад, ширина залізничної колії). У сфері безпеки ці розбіжності мають непримиренний характер (що, загалом, і правильно). Проте ризикнемо припустити, що до масового впровадження PKI (один-два мільйони цифрових сертифікатів) залишилося три-чотири роки. Це припущення ґрунтується на наступних передумовах:
1. Від технологій масового застосування не можна відгородитися, принаймні надовго. Подібно до весняних струмків, вони самі знайдуть собі дорогу.
2. Крім того, з дня на день (правильніше сказати, рік у рік) очікується прийняття Державною Думою Закону "Про електронний цифровий підпис". Цей факт особливо примітний тим, деякі його положення описують інфраструктуру PKI.
3. Камінь спотикання для бажаючих використовувати легальні криптографічні засоби захисту майже подолано: тепер продукт, який реалізує українські ГОСТи на шифрування, ЕЦП та хеш-функцію, може бути вбудований в операційну систему Microsoft Windows.
4. В Україну дісталися зірки першої величини, що працюють на світовому ринку систем побудови PKI.
Проілюструємо побудову інфраструктури PKI на прикладі програмного продукту UniCERT, розробленого ірландською компанією Baltimore (www.baltimore.com). Цей продукт має всі стандартні функції з управління сертифікатами, починаючи від їх видачі та перевірки та закінчуючи зберіганням та відгуком. Перевагою системи UniCERT є підтримка практично необмеженої кількості користувачів - від кількох десятків до кількох мільйонів, що дозволяє застосовувати це рішення і в Україні.
Основу системи UniCERT становлять два модулі: Certification Authority (CA), що забезпечує видачу та відкликання сертифікатів, та Registration Authority (RA), що займається реєстрацією даних про власника сертифіката. Залежно від масштабу організації модулі можуть нарощуватися, що дозволяє створювати ієрархію взаємодії кількох CA і RA, і навіть використовувати різні інтерфейси для модуля реєстрації, зберігання архівних ключів тощо.
Крім перелічених функцій, система UniCERT пропонує і ряд додаткових механізмів:
- використання сучасного протоколу OCSP, що значно прискорює процес перевірки сертифікатів;
- Спільну роботу з різними системами документообігу (наприклад, з Lotus Notes);
- використання шаблонів сертифікатів для різних програм;
- Інтеграцію з рішеннями компанії Cisco.
Як клієнтське ПЗ для взаємодії з UniCERTвикористовується Windows. Ця обставина суттєво полегшує застосування сертифікованих ФАПСІ українських рішень та дозволяє розгортати PKI без зайвих правових проблем, що виникають під час використання зарубіжних продуктів. Таким рішенням є криптопровайдер "КріптоПро CSP", розроблений однойменною українською компанією. Застосовуючи криптопровайдер, користувачі Windows можуть скористатися стандартними програмними засобами Microsoft для реалізації рішень, заснованих на інфраструктурі PKI (браузер Internet Explorer, поштова програма MS Exchange та MS Outlook, Web-сервер Internet Information Server тощо).