Криптографию - в корпоративные массы

На выставке Internet World, прошедшей в Нью-Йорке в конце сентября, стенд фирмы nCipher (Уобурн, шт. Массачусетс) был сравнительно невелик, в отличие от планов самой компании, - а они поистине грандиозны. В течение ближайшего года nCipher намерена превратить свой ускоритель шифрования по протоколу SSL (Secure Socket Layer - уровень защищенных гнезд) в нечто под названием “среда безопасного исполнения”. Другими словами, фирма собирается создать защищенный уголок сети, где можно будет запускать коды, которые сегодня работают в общедоступном пространстве.

Одновременно nCipher планирует предложить аппаратные ускорители SSL для всех сетевых элементов, включая брандмауэры и устройства балансировки нагрузки.

В настоящее время ведется альфа-тестирование системы SEE (Secure Execution Environment - среда безопасного исполнения приложений), а в конце нынешнего года nCipher приступит к ее бета-тестированию. В состав нового продукта входят уже выпускаемые фирмой аппаратные средства ускорения SSL и управления ключами, дополненные модулем JVM (Java virtual machine - виртуальная машина Java), с помощью которого будут запускаться приложения внутри SEE. Разработчики системы надеются перевести задачи, выполняемые сейчас на незащищенных серверах, в безопасное пространство внутри своего устройства.

В ходе первых тестов была проверена способность SEE закрывать так называемую “брешь WAP” (Wireless Application Protocol - протокол для приложений беспроводной связи), возникающую в момент смены алгоритма шифрования с проводного на беспроводной. Кроме того, проводилась оценка подсистемы шифрования паролей и других личных идентификаторов внутри SEE перед их пересылкой в серверные базы данных. При подобной схеме защиты конфиденциальная информация становится недоступной даже для той компании, которая собирает такие данные.

Именно на это обратил внимание Освальд Д’са, вице-президент по техническим операциям фирмы Obongo (Редвуд-Сити, шт. Калифорния), предоставляющей услуги в области защиты и безопасности информации. Здесь система SEE используется для того, чтобы шифровать конфиденциальную информацию пользователей еще до ее пересылки в базу данных фирмы. Благодаря этому информация клиентов остается вне пределов досягаемости сотрудников Obongo. Чтобы получить доступ к ней, необходимо выполнить сложную процедуру разблокирования защиты, в которой участвует четыре, а то и больше старших руководителя фирмы.

“Благодаря этому нам доверяют банки и вверяют свои секреты пользователи. SEE - отличная система, - рассказывает Д’са. - Но у всякой медали есть две стороны. Нам приходится уделять много внимания вопросам безопасности, управления и обработки. Если допустить оплошность, можно получить шифрованную базу данных, к которой никто не сможет обратиться. А кому захочется замкнуть свой сейф, а ключ от него забросить в океан?”

Но системой SEE планы nCipher не ограничиваются, фирма старается продвигать технологии шифрования SSL и ускорители этого процесса во все области. Как сообщил представитель фирмы, в ближайшие несколько недель можно ждать официального сообщения о том, что плата ускорителя SSL будет встраиваться в брандмауэр фирмы Nokia. Одновременно, как нам стало известно, nCipher ведет активные переговоры с другими производителями подобных средств защиты, включая Cisco Systems, а также с разработчиками аппаратных систем балансировки нагрузки. Первым устройством такого класса, на котором будет устанавливаться плата nCipher, должна стать система управления серверами фирмы Resonate.

Конечно, использование SSL на всех уровнях сети имеет свои достоинства и недостатки. Пока этим протоколом охвачены только Web-серверы, но балансировка нагрузки перед серверами требует, чтобы администратор управлял процессом шифрования на каждом сервере.

А на следующем уровне, где непосредственно производится балансировка нагрузки, шифрование вообще должно заканчиваться, поскольку аппаратным средствам такого назначения необходимо получать файлы “куки” в открытом виде. Если же установить ускоритель SSL на брандмауэре, появляется “брешь” между границей сети и защищенным сервером, - именно здесь трафик остается незашифрованным.

Иногда возникает вопрос: а нужно ли вообще выходить за рамки того, что уже делается в этой области? Может, стоит ограничиться лишь шифрованием на Web-сервере?

“Ни в коем случае. Чем надежнее шифрование на каждом уровне, тем лучше”, - уверен Рон Хауэлл, директор по развитию бизнеса фирмы Operational Research Consultants (Чисапик, шт. Виргиния), специализирующейся на интеграции систем безопасности.

С ним согласен и Нарендер Менеглем, директор по планированию безопасности компании Vigilante.com (Мелвилл, шт. Нью-Йорк), которая оказывает услуги в области управления системами безопасности: “Получив свободу выбора, пользователи все чаще задаются важным вопросом: какой уровень безопасности они хотели бы получить и какой им нужен реально”.