PKI заступает на дежурство

Baltimore блистает политикой, Entrust демонстрирует тщательную проработку системы, RSA предлагает непревзойденный клиентский компонент, а VeriSign лидирует в области услуг аутсорсинга

Камерон Стардеван

Большая потребность в инфраструктурах открытых ключей объясняется целым рядом причин: трафик в Интернете несложно перехватить, IP-данные легко декодируются, да и сами пользователи компьютеров очень уж любят проявлять самостоятельность.

В ответ на просьбу страховой компании The Prudential Insurance Co. of America Тестовый центр eWeek Labs решил проверить возможности развертывания полномасштабных систем PKI и управления ими.

Оценка продуктов проводилась по целому ряду критериев, в том числе по их способности создавать авторизованные центры сертификации СА и регистрации RA, производить массовую генерацию ключей и сертификацию, обеспечивать доверительное хранение ключей и их восстановление, обновлять и аннулировать сертификаты, поддерживать службы каталогов и взаимодействовать с другими системами.

Тестированию были подвергнуты четыре инфраструктуры открытых ключей: UniCert 3.5 фирмы Baltimore Technologies, Entrust 5.01 фирмы Entrust Technologies, Keon 5.5 фирмы RSA Security и OnSite 4.51 фирмы VeriSign. Последний продукт, впрочем, системой в общепринятом смысле слова назвать нельзя - это лишь предложение об услуге аутсорсинга, представленное компании Prudential.

В ходе тестирования мы также проверяли такую возможность систем, как перекрестная сертификация, в результате которой один центр сертификации выражает доверие к сертификатам, выданным другим центром. Кроме того, учитывая конкретные потребности Prudential, оценивался уровень интеграции каждого продукта с системой Notes корпорации Lotus Development, для чего использовался протокол SMIME (Secure Multipurpose Internet Mail Extension - безопасные многоцелевые расширения почтовой службы Интернета). Если в комплект инфраструктуры PKI входил клиентский агент, мы тестировали и его.

Победить во всех номинациях не смогла ни одна из проверенных систем, но в целом лучшей оказалась инфраструктура Entrust с ее клиентом Entelligence для настольных систем. Тем же компаниям, которые хотят делегировать функции PKI внешнему соисполнителю, мы советуем обратить внимание на предложение VeriSign. В системе RSA нам очень понравился пользовательский клиент Keon Desktop, а продукт Baltimore явно лидировал во всем, что касалось управления средой PKI на основе правил.

UniCert 3.5 фирмы Baltimore

UniCert 3.5 оснащен великолепным сервером сертификации и обеспечивает очень удобное администрирование на базе правил, однако здесь нет клиента для настольных систем. Таким образом, при развертывании этой инфраструктуры организации придется использовать администратор сертификации Baltimore с клиентом другого производителя, например с Keon Desktop фирмы RSA.

Отсутствие клиента значительно ограничивает возможности роуминга (т. е. свободу применения пользователями UniCert своих сертификатов и ключей на различных машинах) без аппаратных жетонов аутентификации. Да и интеграция с приложениями обычно осуществляется с помощью клиента, поэтому на узлах с продуктом Baltimore обойтись без какого-либо клиента PKI для настольных систем скорее всего не удастся.

При всем этом Baltimore снабдила свою систему намного лучшим администратором сертификации, чем ее соперники. Достаточно отметить, что он способен работать с очень многими операционными системами, включая Windows 2000 и огромное количество разновидностей Unix. А многофункциональный графический интерфейс пользователя позволяет легко и просто просмотреть всю структуру центров сертификации и регистрации. Понравились нам и богатые возможности редактора политики, который предоставляет полную свободу при описании информации, необходимой для создания сертификата.

Baltimore сумела на очень высоком уровне организовать процесс обновления сертификатов. Простой и гибкий интерфейс правил системы UniCert позволил нам контролировать срок годности сертификатов и, когда он опускался ниже 30% от исходного значения, уведомлять об этом пользователей. При работе с продуктом Baltimore сертификат нетрудно сконфигурировать таким образом, что он вступит в силу только после подписания его несколькими пользователями. Более того, мы могли указать служебную категорию лиц, имеющих право ставить такую подпись.

UniCert эффективнее, чем другие проверенные нами системы, использует централизованно разрабатываемые правила для распределенного администрирования. Правда, в том, что касается доверия к другим сертификатам и перекрестной сертификации, система Baltimore уступает другим продуктам.

Система Lotus Notes использует собственные протоколы безопасности и не слишком-то открыта для управления извне. Чтобы обеспечить ее интеграцию в свою инфраструктуру открытых ключей, Baltimore использует собственный модуль MailSecure. И хотя это не самое простое решение, нужный результат оно все же дает.

Каталожная цена развертывания UniCert в базовой конфигурации, включающей серверы сертификации и регистрации, составляет 36 тыс. долл. Однако для работы с этой системой компании скорее всего захотят развернуть дополнительный модуль регистрации Advanced Registration Module стоимостью 20 тыс. долл. Кроме того, им придется заплатить разовый сбор за пользовательскую лицензию, размер которого колеблется от 16 тыс. долл. за 1 тыс. пользователей до 100 тыс. долл. за 10 тыс. пользователей.

Entrust 5.01 фирмы Entrust

Предлагаемая фирмой Entrust инфраструктура открытых ключей представляет собой хорошо проработанную систему - но лишь при использовании вместе с клиентом для настольных систем Entelligence этой же фирмы. Без него администратор сертификации Entrust 5.01 практически ничем не отличается от других протестированных продуктов.

Клиент Entelligence предложил нам не только журнал аудита с указанием времени событий, но и перечень всех ранее аннулированных сертификатов. Последнее обстоятельство может оказаться особенно полезным в тех случаях, когда пользователь использовал просроченный или аннулированный сертификат, но не знает, когда это произошло. С помощью Entelligence мы смогли наладить единую регистрацию пользователя, равно как и регистрацию в процессе роуминга.

К недостаткам Entelligence следует отнести то, что пользователь не может отозвать собственный сертификат. А это порой бывает очень нужно, ведь первым о компрометации сертификата, как правило, узнает его владелец.

При выборе инфраструктуры открытых ключей компаниям обязательно нужно обращать внимание на уровень интеграции той или иной предлагаемой системы с аппаратными средствами аутентификации, например, с устройствами считывания микропроцессорных карточек и биометрическими устройствами. Из проверенных продуктов работать с ними могут Entrust 5.01 и некоторые другие пакеты программ PKI.

В Entrust используется служба ValiCert, которая обеспечивает поддержку протокола OCSP (Online Certificate Status Protocol - протокол онлайнового состояния сертификата). Этот протокол, разработанный фирмой VeriSign, широко применяется для проверки достоверности сертификатов в реальном времени.

Кроме того, мы могли настроить Entrust так, чтобы генерировался сертификат только на основании нескольких подписей. И наконец, вместе с системой можно использовать компонент под названием TruPass, обеспечивающий вполне приличный роуминг с помощью браузера.

В базовой конфигурации Entrust 5.01 стоит 25 тыс. долл. (пользовательские лицензии в эту сумму не входят). Сертификаты на 5 и 10 тыс. пользователей приобретаются отдельно по цене от 0,75 до 1,50 долл. на пользователя; они действительны в течение двух лет.

Keon 5.5 фирмы RSA

Подобно Baltimore и Entrust, фирма RSA разработала систему PKI для тех организаций, которые хотят самостоятельно управлять своей инфраструктурой открытых ключей и сопровождать ее. В комплект Keon 5.5 входит очень хороший клиент Keon Desktop с богатым набором разнообразных функций. Он, в частности, обеспечивает единую безопасную регистрацию пользователя, шифрование файлов настольной системы, защиту в неактивном режиме и безопасное хранение идентификационных данных на ПК.

В Keon Desktop предусмотрена и функция защиты электронной почты, но она совместима только с браузером Internet Explorer корпорации Microsoft. Для того же, чтобы этот клиент использовать с браузером Navigator корпорации Netscape Communications, нужно установить некоторые дополнительные модули. Возможность интеграции Keon 5.5 с Lotus Notes не проверялась, так как в клиенте отсутствуют необходимые для этого средства. Правда, специалисты RSA утверждают, что могут интегрировать эти два продукта.

Keon Desktop способен взаимодействовать с большим количеством систем, включая PKI фирмы Baltimore. Впрочем, такая перспектива, как управление инфраструктурами открытых ключей разных производителей, инженеров Prudential, прямо скажем, не вдохновляет. Да и мы не рекомендуем смешивать такие системы.

Сервер сертификации Keon оказался самым слабым из тех, с которыми нам приходилось иметь дело. Он не позволяет проводить автоматическую генерацию сертификатов, не обеспечивает доверительного хранения ключей, лишен функции возобновления сертификатов. Не способна система Keon и к автоматической выдаче предупреждений о скором истечении срока годности сертификатов.

Хотя Keon не обеспечивает непосредственной поддержки протокола OCSP, пользователь этой системы при необходимости может обратиться к услугам ValiSert. Инфраструктура допускает работу с доверенными администраторами сертификации, однако процедура перекрестной сертификации здесь проработана довольно слабо.

Стоимость полномасштабного развертывания Keon Advanced PKI с клиентом Keon Desktop зависит от количества пользовательских лицензий. При 1 тыс. пользователей такая инфраструктура обойдется в 175 тыс. долл., а при 10 тыс. пользователей - в 990 тыс. долл. На первый взгляд продукт RSA выглядит значительно дороже других проверенных нами систем, однако необходимо учитывать, что цены различных производителей вовсе не основываются на определенной конфигурации продуктов. Поэтому стоимость Keon нам кажется более реальной, и менеджеры ИТ могут по ней прикинуть, во что им обойдется развертывание инфраструктуры открытых ключей.

OnSite 4.51 фирмы VeriSign

В области услуг аутсорсинга без всяких сомнений преимущество у VeriSign. Ее услуга OnSite 4.51 предлагает пользователю богатые возможности управления сертификатами, подкрепленные репутацией фирмы как надежного и отказоустойчивого помощника в хостинге серверов сертификации. Системы безопасности VeriSign успешно выдержали самые строгие испытания Американского института дипломированных бухгалтеров высшей квалификации на соответствие жесткому стандарту аудита Statement on Accounting Standards 70, Level 2. Достаточно сказать, что в ходе такого тестирования обязательно проводятся аудит в месте размещения узлов и практическая демонстрация качества защиты.

Сертификаты - это основное направление деятельности фирмы, которая, как подтвердили наши тесты, достигла в этом подлинного совершенства. Автоматическая генерация и возобновление сертификатов не вызывают никаких трудностей и проводятся очень эффективно.

Соответственно OnSite предлагает богатые возможности управления сертификатами. Так, эта услуга позволяет синхронизировать каталоги даже без помощи провайдеров безопасности наподобие фирмы Oblix. Как и следовало ожидать, разработанный VeriSign протокол OCSP является для OnSite “родным” и используется для проверки подлинности сертификатов в реальном времени.

А новый компонент под названием Personal Trust Agent (персональный доверительный агент) значительно упрощает роуминг по сравнению с прежними версиями OnSite. Из всех поставщиков услуг PKI, с которыми нам приходилось иметь дело, VeriSign предлагает наилучшую интеграцию с Notes. Взаимодействие этих продуктов достигается с помощью бесплатно предоставляемого модуля Go Secure. Такие модули фирма разработала для нескольких приложений, снабдив каждый из них документацией о порядке интеграции с OnSite.

Благодаря тому, что VeriSign берет всю организацию системы PKI на себя, компании очень быстро после заключения контракта могут получить вполне пригодную пилотную систему PKI. Фирмы же, предъявляющие к процедуре сертификации минимальные требования и имеющие разработанные средства интеграции со всеми необходимыми приложениями, получат работоспособную инфраструктуру буквально через пару месяцев.

Однако в отдаленной перспективе быстрота развертывания обойдется очень дорого. За использование своей системы VeriSign ежегодно взимает от 70 тыс. долл., если она обслуживает 1 тыс. пользователей, до 220 тыс. долл., если число пользователей составляет 10 тыс. От числа сертификатов тариф не зависит - пользователи могут получать столько сертификатов, сколько им нужно. Необходимо также учитывать, что в лицензии указывается количество одновременно работающих пользователей, а не общее их число.

Таким образом, обратившись к услуге VeriSign, компания должна быть готова к тому, что через пару лет ей придется столкнуться с серьезной проблемой, даже если сама система PKI будет работать без сучка без задоринки (а это весьма смелое допущение). После развертывания инфраструктуры за нее придется постоянно платить немалую фиксированную сумму, а если вы решите в конце концов отказаться от услуг фирмы, то все наработки останутся в руках VeriSign.

Табло результатов систем PKI    

Расшифровка буквенной оценки по различным категориям приведена на узле www.eweek.com/links. (A - отл., В - хор., С - удовл.)