Расчищая путь для PKI

Два ведущих поставщика цифровых сертификатов пытаются упростить запутанную проблему внедрения инфраструктуры открытых ключей (PKI).

Фирма Entrust Technologies (www.entrust. com) представила в июне новую версию своего ПО инфраструктуры открытых ключей Entrust 5.0, которое обеспечивает централизованное хранение цифровых сертификатов стандарта X.509. В ней улучшена поддержка удаленных пользователей.

В это же время фирма VeriSign (www. verisign.com) сообщила о новой службе Go Secure Service, которая облегчит переход от паролей к цифровым сертификатам и будет тесно интегрирована с сервером электронной почты Exchange корпорации Microsoft.

Обе компании преследуют цель вывести индустрию PKI из стадии пилотных проектов и перейти к ее внедрению в масштабе корпораций. Технология PKI настолько сложна, что именно из-за этого ее внедрение часто застревает на этапах испытаний. Однако официальные лица Entrust и VeriSign заявляют, что их новые продукты способны помочь решению данной проблемы.

По словам исполнительного директора VeriSign Стреттона Склэвоса, использование этой технологии окажется незаметным не только для конечных пользователей, но во многом и для администраторов.

Entrust 5.0, впервые показанный фирмой Entrust на пользовательской конференции Secure Summit в Орландо (шт. Флорида), расширяет возможности удаленных пользователей, позволяя осуществлять аутентификацию при вхождении в сеть практически отовсюду.

Сертификаты X.509, которые обеспечивают аутентификацию пользователей и устанавливают защищенный канал связи, будут храниться отнюдь не на диске пользовательского ноутбука или настольного ПК, а в централизованном хранилище. При этом пользователь сможет входить в свою сеть из любого места, вводя пароль для доступа к цифровому сертификату.

Технология Entrust основана на новом методе криптографической защиты, лицензированном у начинающей компании Integrity Sciences (Уэстборо, шт. Массачусетс). Фирма Integrity является автором алгоритма под названием SPEKE (Simple Password Authenticated Exponential Key Exchange - простой алгоритм обмена экспоненциальными ключами, подтвержденный паролем).

По словам президента и сооснователя Integrity Дэвида Джеблона, SPEKE обеспечивает необходимую защиту при переходе от пароля к цифровому сертификату.

Алгоритм SPEKE, к которому приглядываются уже несколько лет, защищает от нескольких типов атак, в том числе от атак на основе словарей в режиме онлайн и оффлайн. Их смысл сводится к тому, что хакер подбирает пароль, используя программу, которая перебирает все слова, имеющиеся в словаре, имена собственные (типа названий городов или спортивных команд) и комбинации цифр.

Сообщается, что выходящий в конце года Entrust 5.0 будет иметь улучшенную поддержку таких криптографических алгоритмов, как шифрование открытыми ключами по методу эллиптических кривых, а также DSA (Digital Signature Algorithm) стандарта правительства США и международного стандарта International Data Encryption Algorithm.

Если говорить о VeriSign, то ее служба Go Service даст возможность пользователям с помощью паролей перейти от аутентификации к цифровым сертификатам благодаря тесной интеграции этой службы с другими приложениями. В итоге корпорации смогут внедрить PKI без специального обучения своего персонала.

На первом этапе VeriSign собирается органично интегрировать эту технологию в Microsoft Exchange. По словам Склэвоса, к концу года будет обеспечена интеграция с другими платформами, в первую очередь с Notes корпорации Lotus Development. Это позволит управлять ключами PKI из того же каталога, что и электронной почтой.

Компания British Telecommunications, применяющая клиентские программы электронной почты Exchange и Microsoft Outlook, испытывает в настоящее время интеграционные возможности Go Service для безопасного управления своей сетью, которой пользуются 85 000 клиентов. По словам Джона Скиппера, возглавляющего службы кредитов и платежей отделения BT Electronic Commerce (Лондон), возможности соединения Go Service с настольными приложениями в прошлом были очень ограниченными. Теперь же компания может внедрить PKI с меньшими издержками и с гораздо более низким технологическим риском в масштабе всей организации.     

Алгоритм SPEKE

Что это такое: средство аутентификации по незащищенному каналу с использованием пароля небольшой длины

Разработчик: фирма Integrity Sciences

Аналоги: Integrity сравнивает его с хорошо известным способом обмена открытыми ключами по алгоритму Диффи - Хелмана

Применение: SPEKE лежит в основе продукта Entrust 5.0, который запланирован к выходу в конце года