PKI - ИНФРАСТРУКТУРА ДЛЯ ВАШЕГО БИЗНЕСА

(Выдержка из статьи)

"Документальная электросвязь"
No8 Январь 2002

Вороненко Павел Викторович
Макоев Владимир Олегович

О преимуществах использования открытых сетей, и в первую очередь Интернета, написано немало. И все-таки не наблюдается массового перехода на технологии электронного бизнеса. Что же сдерживает и мешает?

Этому есть ряд объяснений. Мы остановимся только на одном, но значительном факторе. Использование Интернета в повседневной бизнес-деятельности как корпоративных, так и индивидуальных пользователей не носит массового характера, в силу существующих угроз информационной безопасности. Причем как реальных, так и мнимых. Современные сети характеризуются высоким динамизмом в части изменений программных и аппаратных средств, постоянно обновляемой информационной базой и открытостью для пользователей. Это создает дополнительные трудности в процессе обеспечения защищенности компьютерных сетей и информационных систем. Опыт последних лет показывает, что обеспечение защищенности, доступности и целостности информационных ресурсов, открытых сетей является крайне сложной задачей.

Так, одной из серьезных проблем, особенно касающихся электронной коммерции и передачи конфиденциальной информации с использованием Интернета, является высокая сложность, а иногда и невозможность достоверной идентификации личности, действий или данных, передаваемых по сети.

Кроме того, существует множество способов избежать идентификации или выполнить подмену данных, которые с успехом используют злоумышленники.

Однако высокие темпы развития сетевой инфраструктуры, увеличение объемов доступной информации делают Интернет все более притягательным как для обычных, так и для корпоративных пользователей. Подобная ситуация наблюдается уже не один год и вынуждает производителей программного обеспечения, аппаратных средств, а также средств защиты создавать все более совершенные способы безопасного взаимодействия внутри сетевого сообщества.

Одной из технологий, позволяющих решить большинство из перечисленных проблем, является Инфраструктура открытых ключей - PKI.

Инфраструктура открытых ключей (public key infrastructure - PKI) является наивысшим уровнем развития технологии, применяемой для защиты транзакций и совместного использования данных. При помощи PKI пользователи реализуют и поддерживают цифровые сертификаты, аутентификацию, шифрование, а также выявляют фальсифицированную или незаконно измененную информацию. Michael Rothman, Вице-президент компании SHYM Technology Эта технология в последние годы претерпела ряд существенных изменений в части стандартизации и возможности интеграции систем различных производителей. Появились и свои лидеры в этой области, такие как Entrust, RSA Security, например. Их подходы и решения нацелены, прежде всего, на обеспечение максимальной используемости технологии PKI, путем упрощения основных операций и обеспечения гладкой, бесшовной интеграции с приложениями и другими РК1-системами. В связи с этим наблюдается все больший интерес к инфраструктуре открытых ключей и интеграции средств защиты с бизнес-технологиями на ее основе. Этот интерес, со стороны владельцев бизнеса, обусловлен в значительной степени все большим числом применений PKI в решении конкретных бизнес-задач предприятий и организаций.

Экспертно-аналитическая группа Datamonitor прогнозирует лидирующее положение систем на основе инфраструктуры открытого ключа на рынке решений по идентификации и шифрованию для электронного бизнеса.

Специалисты в отчете "Creating Trust: PKI and authentication and encryption technologies" утверждают, что решения с использованием технологии PKI в ближайшем будущем станут основным выбором электронного бизнес-сообщества для идентификации и шифрования. Также отмечается то, что расширение использования PKI продолжится вместе с развитием беспроводных коммуникаций, а компании, занимающиеся беспроводной связью, станут одним из важнейших сегментов пользователей этой технологии, а также основным каналом распространения цифровых сертификатов.

Ведение электронного бизнеса основано на доверии между сторонами, стремящимися к сотрудничеству. Но так как в этой области участники процесса зачастую не могут доверять друг другу, например, в силу угроз подмены, необходим арбитр, которому бы доверяли все участники процесса. Отсутствие доверия препятствует эффективному взаимодействию. При использовании Интернета как среды для делового общения и проведения финансовых операций, в первую очередь, возникает необходимость в идентификации участвующих сторон, обеспечении конфиденциальности и целостности передаваемой информации, а также в обеспечении невозможности отказа в одностороннем порядке от совершенных действий или договоренностей.

Технология PKI позволяет решить эту проблему и, кроме того, предоставляет возможность пользователям открытых сетей осуществлять безопасный и конфиденциальный обмен данными, заключать online сделки. Базовым принципом является использование асимметричных криптографических алгоритмов, обеспечивающих надежную идентификацию участников и сокрытие конфиденциальной информации от несанкционированного доступа.

Согласно заявлению исследовательской компании IDC, рынок продуктов, использующих технологию шифрования методом открытого ключа, развивается быстрыми темпами и постепенно становится основной технологией обеспечения безопасности в "business-to-busi-ness''-коммерции. PKI позволяет защитить от незаконного использования широкий спектр интернет-приложений, включая электронные письма и онлайновые документы, протоколы платежей и другие системы, требующие использования цифровых сертификатов и возможности доступа к ним.

По данным IDC, рынок PKI-продуктов и сертификационных служб будет увеличиваться с показателем темпа ежегодного роста равным 61%, от 281 млн. долл. в 1999 году до 3 млрд. долл. в 2004 году.

Решения на базе технологий и стандартов PKI обеспечивают работу с электронными сертификатами: выдачу, хранение и отзыв, в случае необходимости или по истечении срока действия, а также управление и контроль использования. Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Этот сертификат выдается Центром Сертификации (Certificate Authority, CA), являющимся одним из важнейших звеньев PKI инфраструктуры, обеспечивая управление открытыми ключами и сертификатами. Использование данных сертификатов позволяет идентифицировать частных или корпоративных пользователей.

Для иллюстрации работы системы приведем пример: допустим существуют два пользователя А и В, которым необходимо произвести обмен конфиденциальной информацией.

Пользователь А готов отправить информацию только после того, как убедится, что пользователь В действительно тот, за кого себя выдает, а пользователь В опасается того, что в процессе передачи информация будет перехвачена или подменена злоумышленниками. Как же решается эта задача с использованием PKI?

Технология РК1 подразумевает, что оба пользователя заранее прошли регистрацию и получили цифровые сертификаты. В этом случае для обеспечения защищенного обмена пользователю А необходимо зашифровать свое сообщение с использованием открытого ключа пользователя В и послать это сообщение. Расшифровать же это сообщение можно исключительно с использованием секретного ключа пользователя В, который он хранит в защищенном месте. Важно то, что технология PKI гарантирует соответствие пользователя В и его открытого ключа (см. рис. 1).

Для обеспечения уверенности пользователя B в том, что полученное сообщение действительно отослано пользователем А, возможно применение ЭЦП - электронной цифровой подписи, которая и подтвердит принадлежность информации конкретному отправителю и отсутствие изменений в процессе передачи.

Таким образом, задача защищенного обмена данными между пользователями решена. Применение PKI-инфраструктуры позволило пользователям идентифицировать друг друга и осуществить безопасный обмен информацией с использованием открытых сетей.

Конечно же, приведенный выше пример является несколько упрощенным, но он, на наш взгляд, позволяет проиллюстрировать отдельные технологии инфраструктуры.