IPsec при помощи сертификатов идентифицирует пользователей, хосты и шлюзы безопасности. От сертификатов зависят сервисы аутентификации. На базе сертификатов выполняется взаимная аутентификация взаимодействующих сторон при обмене открытыми ключами Диффи-Хэллмана, которые, в свою очередь, используются для безопасного распределения симметричных секретных ключей. Секретные ключи обеспечивают поддержку аутентификации, целостности и конфиденциальности IP-пакетов.
Типовые сценарии использования PKI
В лекциях 3, 4 и 5 обсуждалась архитектура, которую можно назвать полнофункциональной PKI (см. табл. 17.2). Были определены компоненты, функции и сервисы инфраструктуры, которая в некотором смысле является совершенной, потому что теоретически удовлетворяет требованиям любой среды. В конкретной среде целесообразно использовать не общее решение, а только те функции, которые необходимы для решения определенного круга проблем.
Полнофункциональная PKI - это идеальное представление возможной инфраструктуры, пока неизвестны PKI-продукты, реализующие все перечисленные в (таблице 17.2) функции. Современные PKI обычно предназначены для решения определенной задачи или ряда задач. Конкретные реализации PKI представляют собой некоторые подмножества полнофункциональной архитектуры.
|УЦ | Репозиторий | Аннулирование сертификатов |
|Резервное хранение ключей | Восстановление ключей | Автоматическое обновление ключей |
|Управление историями ключей | Кросс-сертификация | Клиентское ПО |
|Аутентификация | Целостность | Конфиденциальность |
|Защищенное датирование | Нотаризация | Неотказуемость |
|Защищенный архив данных | Разработка полномочий/политики | Проверка полномочий/политики |
Таблица 17.2.Полнофункциональная PKI
Рассмотрим четыре распространенных на сегодняшний день сценария использования PKI [44]. В табл. 17.3 представлена Интернет-PKI, которая поддерживает обычную электронную почту (между знакомыми) и навигацию в World Wide Web при помощи SSL-сервера аутентификации. Такой сценарий требует наличия УЦ для выпуска сертификатов открытых ключей и поддержки основных сервисов аутентификации, целостности и конфиденциальности. В этом сценарии не предусмотрено использование репозитория (сертификаты пересылаются по протоколу связи), не выполняется проверка статуса получателя электронной почты (или даже сертификата сервера) и управление жизненным циклом ключей и сертификатов, отсутствует клиентское программное обеспечение (как отдельный модуль, вызываемый при помощи браузера), не требуется ни кросс-сертификация, ни дополнительные сервисы, базирующиеся на PKI.
|УЦ | Репозиторий | Аннулирование сертификатов |
|Резервное хранение ключей | Восстановление ключей | Автоматическое обновление ключей |
|Управление историями ключей | Кросс-сертификация | Клиентское ПО |
|Аутентификация | Целостность | Конфиденциальность |
|Защищенное датирование | Нотаризация | Неотказуемость |
|Защищенный архив данных | Разработка полномочий/политики | Проверка полномочий/политики |
Таблица 17.3.Интернет-PKI
Табл. 17.4 иллюстрирует функции PKI в сценарии, когда для доступа к корпоративной сети извне используется браузер и выполняется SSL-аутентификация клиентов. В этом сценарии должна поддерживаться проверка статуса сертификата, полномочий и политики. Из-за ограниченных возможностей браузера невозможно реализовать управление жизненным циклом ключей и сертификатов, кросс-сертификацию и другие сервисы, базирующиеся на PKI.
|УЦ | Репозиторий | Аннулирование сертификатов |
|Резервное хранение ключей | Восстановление ключей | Автоматическое обновление ключей |
|Управление историями ключей | Кросс-сертификация | Клиентское ПО |
|Аутентификация | Целостность | Конфиденциальность |
|Защищенное датирование | Нотаризация | Неотказуемость |
|Защищенный архив данных | Разработка полномочий/политики | Проверка полномочий/политики |
Таблица 17.4.Экстранет-безопасность (через SSL-аутентификацию клиентов)
В табл. 17.5 представлен набор функций PKI для сценария защищенной корпоративной электронной почты. В этом сценарии может потребоваться управление жизненным циклом ключей и сертификатов и встроенное клиентское программное обеспечение, так как стандартные пакеты электронной почты не всегда поддерживают безопасность, основанную на PKI. В данном случае не нужны дополнительные сервисы, базирующиеся на PKI, и кросс-сертификация.
Наконец, в сценарии поддержки межкорпоративных транзакций с использованием цифровых подписей могут потребоваться многие возможности полнофункциональной PKI, в частности сильная аутентификация и авторизация, проверка статуса сертификатов, разработка и проверка полномочий и политики, сервис неотказуемости (поддержка множественных пар ключей, хранение принятых электронных документов с цифровой подписью и т.д.). Если корпорации имеют свои собственные PKI, то необходима кросс-сертификация. В данном сценарии можно обойтись без архивирования данных, датирования и нотаризации.
|УЦ | Репозиторий | Аннулирование сертификатов |
|Резервное хранение ключей | Восстановление ключей | Автоматическое обновление ключей |
|Управление историями ключей | Кросс-сертификация | Клиентское ПО |
|Аутентификация | Целостность | Конфиденциальность |
|Защищенное датирование | Нотаризация | Неотказуемость |
|Защищенный архив данных | Разработка полномочий/политики | Проверка полномочий/политики |
Таблица 17.5.Защищенная корпоративная электронная почта
|УЦ | Репозиторий | Аннулирование сертификатов |
|Резервное хранение ключей | Восстановление ключей | Автоматическое обновление ключей |
|Управление историями ключей | Кросс-сертификация | Клиентское ПО |
|Аутентификация | Целостность | Конфиденциальность |
|Защищенное датирование | Нотаризация | Неотказуемость |
|Защищенный архив данных | Разработка полномочий/политики | Проверка полномочий/политики |
Таблица 17.6.Межкорпоративные транзакции с цифровой подписью
Таблицы 17.3, 17.4, 17.5 и 17.6 подтверждают, что PKI, реализующие частные сценарии, являются подмножествами полнофункциональной PKI. Технология PKI продолжает развиваться, но уже сейчас ясно, что многие поставщики программного и аппаратного обеспечения PKI будут ориентироваться на реализацию полнофункциональных систем, а не на PKI-продукты узкого назначения. Очевидно, что во многих случаях проще и экономически более эффективно адаптировать полнофункциональный продукт для решения специфической проблемы, чем разрабатывать и поддерживать несколько отдельных продуктов, каждый из которых предназначен для решения одной или двух специфических проблем. Во многих средах PKI произойдет неизбежный переход от частных решений частных проблем к полнофункциональной PKI, предлагающей универсальное решение проблем безопасности для широкого круга приложений.