Насколько PKI готова к старту?

Похоже, Что технология PKI (Public-Key Infrastructure - инфраструктура открытых ключей) наконец-то в состоянии обеспечить баланс между требованиями безопасности информационных систем и возможностями производителей.

В конце декабря наиболее известные разработчики средств безопасности еще раз подтвердили, что намерены добиться совместимости своих инфраструктур открытых ключей. Более того, фирма Xcert International (Уолнат-Крик, шт. Калифорния) пообещала выпустить в январе новую версию ПО Sentry PKI, поддерживающую сертификаты практически всех органов сертификации.

Развертывание инфраструктур открытых ключей позволяет идентифицировать пользователей и компании, создавать шифрованные каналы для безопасной связи. Однако внедрение PKI долго сдерживалось целым рядом факторов. Много сил уходило на подготовку информационных систем к работе в 2000 г., сказывалась путаница в вопросах совместимости, да и в корпоративной среде не наблюдалось особого интереса к этой технологии.

Сейчас ситуация начинает меняться: возобновляется сотрудничество между разработчиками, повышается спрос на эту технологию со стороны потребителей. Чего стоит один только проект PKI в области здравоохранения, охватывающий около полумиллиона пользователей. Его завершение намечено на нынешний год. Все это даст мощный импульс развитию нового долгожданного сегмента рынка.

“Теперь, когда подготовка к наступлению 2000 года позади, интерес к PKI должен значительно повыситься”, - уверен Патрик Ричард, директор по развитию технологий фирмы Xcert.

Об этом свидетельствует ряд симптомов, на которые просто не могут не обратить внимания даже самые закоренелые скептики. Скажем, фирма VeriSign (Маунтин-Вью, шт. Калифорния), считающаяся лидером рынка PKI, впервые за всю свою историю завершила III квартал 1999 г. с прибылью. Еще лучше идут дела у других компаний, включая Xcert: их доходы растут из квартала в квартал, причем прирост зачастую достигает 30-процентной отметки.

Концепция PKI все чаще применяется и в системах безопасности корпоративных узлов. В 1998 г. началась реализация проекта Healthcare Internet Interoperability Security Pilot (пилотная программа безопасного обмена информацией между медицинскими учреждениями через Интернет), который уже сейчас охватывает свыше полумиллиона сотрудников больниц, правительственных организаций и компаний медицинского страхования. Работы по этому проекту должны быть в основном завершены в нынешнем году. В нем планируется использовать целый ряд технологий открытых ключей, включая криптографию, основанную на алгоритме эллиптических кривых, а в больнице Mayo Clinic (Рочестер, шт. Миннесота) намечено внедрить шифрование по методу PGP (Pretty Good Privacy - вполне надежная секретность).

Главное в этом проекте - обеспечить взаимодействие цифровых сертификатов, генерируемых различными органами сертификации, считает Гордон Ромни, президент фирмы Arcanvs (Солт-Лейк-Сити, шт. Юта). Его компания специализируется на предоставлении сертификатов безопасности и активно помогает осуществлять руководство проектом.

“Все шесть органов сертификации, с которыми мы имеем дело, уже придерживаются общих правил, - подчеркивает Ромни. - К примеру, если корпорация Unisys выдает сертификат, то в случае его отзыва информация об этом обязательно поступит во все другие органы сертификации. Раньше этого никогда не было”.

И все же инфраструктуре открытых ключей в системе здравоохранения недостает одного компонента - корневого органа сертификации. А ведь он необходим для хранения корневого ключа, который служит базовым элементом шифрования в рамках всей инфраструктуры открытых ключей. Такой ключ обычно хранится на специальном устройстве, надежно защищенном от несанкционированного доступа. Пока функции корневого органа сертификации для данного проекта выполняет фирма Arcanvs, однако, как надеется Ромни, в последующем эта задача будет возложена на одно из правительственных учреждений.

Производители решают проблему совместимости PKI по двум направлениям: техническому и организационному. Около десятка разработчиков, следуя примеру Целевой группы технической поддержки Интернета IETF, создали в декабре специальную организацию PKI Forum. В число ее членов вошли VeriSign, Entrust Technologies, Baltimore Technologies, IBM, Microsoft, RSA Security и др.

Правда, в отличие от IETF, новый форум намерен сосредоточить внимание не только на технических, но и на организационных вопросах. Так его участники собираются рассмотреть порядок отзыва сертификатов, который сказывается на взаимодействии органов сертификации не меньше, чем техническая совместимость продуктов.

Первой ласточкой должна стать новая версия программного пакета Sentry PKI 4.0, ее фирма Xcert планирует выпустить в январе 2000 г. для упомянутого выше проекта PKI в сфере здравоохранения. Впрочем, новинка вызвала интерес и у других потребителей. В частности, ее уже намерены взять на вооружение страховая фирма Aetna (Фармингтон, шт. Коннектикут) и Ассоциация американских банкиров со штаб-квартирой в Вашингтоне.

Инфраструктура открытых ключей на базе Sentry впервые позволит компаниям наладить централизованное управление сертификатами, поступающими из разных органов, и обеспечить их взаимодействие. Благодаря этому исчезнет необходимость обновлять списки отозванных сертификатов и другие компоненты для их проверки на всех клиентах инфраструктуры PKI каждый раз, когда в систему поступает сертификат другого органа сертификации.

Но как ни значительны достижения технологии PKI, в ее надежности уверены далеко не все. Скептики продолжают утверждать, что безопасность инфраструктуры открытых ключей во многом определяется качеством ее практического воплощения. “Одно дело обещания и совсем другое - реальность, - подчеркивает Брюс Шнейер, криптограф фирмы Counterpane Internet Security (Сан-Хосе, шт. Калифорния). - К тому же бизнес есть бизнес: хочешь продать, кричи громче. Поэтому покупателю нужно быть осмотрительным”.