Берегись вторжения ключей и сертификатов

 

В таких фильмах, как “Нашествие похитителей тел”, коварные инопланетяне прячутся в человеческие тела только для того, чтобы потом появиться и посеять панику.

 

Менеджеры по ИТ сталкиваются с подобной угрозой, когда разворачивают системы. Применение открытых криптографических ключей и цифровых сертификатов  -  часть таких проблем, способных довести менеджеров до ночных кошмаров.

 

Как определено в стандарте X.509 (стандарт на шифрование данных при их передаче в сетях), сертификаты являются цифровыми документами, которые улучшают механизм шифрования с открытым ключом, подтверждая подлинность этого криптографического ключа. Органы сертификации создают и подписывают сертификат, ручаются за подлинность ключа и идентичность его владельца. В результате цифровые сертификаты становятся важными инструментами аутентификации и предоставления прав доступа к защищенной электронной почте, средствам электронной коммерции и другим приложениям.

 

Стандарт SSL (Secure Socket Level  -  уровень защиты гнезд) унифицирует использование подписанных сертификатов, например, для создания защищенных каналов связи. Сертификаты также обеспечивают возможность цифровой подписи для обмена защищенной электронной почтой и организации подписи в Java- и ActiveX-ПО. Кроме того, они являются важным компонентом стандарта SET (Secure Electronic Transaction  -  защищенная электронная транзакция). Все это делает коммуникации более безопасными, но и вызывает новые проблемы.

 

Управление ключами, которое менеджеры должны тесно увязывать со своей корпоративной политикой безопасности, станет одной из крупнейших проблем, связанных с приложениями для Internet и intranet. Наверняка в вашей организации эта проблема уже появилась, хотя, возможно, это пока незаметно.

 

Всякий раз, когда вы устанавливаете, например, браузер, вы также инсталлируете ключи и сертификаты. Приложения для групповой работы и электронной почты комплектуются средствами цифровой подписи и шифрования данных на основе протокола безопасной универсальной почтовой службы Internet S/MIME (Secure MIME, почтовый стандарт Internet). Иными словами, ключи и сертификаты просачиваются в организации с клиентской стороны  -  оттуда, где сетевым менеджерам их трудно контролировать.

 

План опережения

 

Управление сертификатами и ключами  -  это проблема уровня корпоративной инфраструктуры.

 

Такие компании, как Entrust и VeriSign, предлагают продукты для инфраструктуры с открытым ключом, которые облегчают создание, публикацию сертификатов и управление ими. Netscape выпускает сервер сертификатов, а Microsoft вывела аналогичный продукт на стадию бета-тестирования. Однако функционирование этих продуктов затруднено, если нет службы каталога. Каталоги позволят вам более эффективно хранить и распределять сертификаты, а также комплексно управлять их аннулированием.

 

Многие компании сегодня не располагают инфраструктурой корпоративного каталога, и пока вы не начали ее создавать, следует максимально централизовать использование сертификатов и управление ими. Фирма WorldTalk, например, только что анонсировала WorldSecure Server, который создает нечто вроде брандмауэра для электронной почты, централизуя всю политику компании в области использования протокола S/MIME для шифрования почты. Вместо создания ключей и сертификатов и раздачи их всем своим сотрудникам, количество которых составляет 12 821, WorldTalk решила централизованно исполнять эту функцию на сервере, который обрабатывает сообщения, отправляемые по Internet. Из-за возникающих сложностей многие заказчики вполне могут передать функции сертификации внешним организациям.

 

По счастью, использование сертификатов только начинается, так что у вас еще есть время, чтобы составить план, как противостоять трудностям. План вам необходим, иначе в один прекрасный день проблема встанет во весь рост, как коварный инопланетянин, и начнет сеять смуту в вашей организации.

 

Джейми Льюис  -  президент исследовательской компании The Burton Group, которая специализируется на изучении сетевых технологий. С ним можно связаться по адресу: jlewis@tbg.com.

 

            Джейми Льюис

Версия для печати