14.04.2008

PKI в корпоративной инфраструктуре: состояние и пути развития

Ника Комарова, Information Security №1, 02.2008

Со вступлением в силу Федерального Закона "Об электронной цифровой подписи" - наша страна сделала значительный шаг вперед в сфере создания электронного документооборота, как более технологичного и экономного, но при этом имеющего тот же статус и полномочия, что и бумажное ведение документации. Принятие данного законодательного акта обеспечило возможность применения электронной цифровой подписи (ЭЦП), как аналога собственноручной, для подтверждения личности пользователя и достоверности электронных документов. ЭЦП до сих пор является наиболее совершенным решением для однозначной идентификации документа, его автора и сторон его подписавших (подписантов). Эти возможности ЭЦП открыли ряд перспектив развития для государственных и корпоративных информационных систем в области защиты информации от несанкционированного доступа, надёжной аутентификации сторон информационного обмена, обеспечении целостности и достоверности электронных документов. Технологической базой для реализации ЭЦП в информационных системах является PKI – инфраструктура открытых ключей.

PKI широко распространена в мировой практике использования и предоставления сервисов на основе ЭЦП, а также услуг по защите информации. В России, в отличие от западных стран, основным локомотивом продвижения технологий PKI в массы стало государство. Однако преимущества и возможности инфраструктуры открытых ключей со временем стали очевидны и для отечественного корпоративного сектора, рынок даже заговорил о "массовом внедрении PKI"…

Как будет развиваться корпоративная PKI? Каковы её основные задачи? Нужна ли она российским компаниям? С этими и другими вопросами попробуем разобраться в данной статье.

Какие задачи решает PKI в корпоративной инфраструктуре

Итак, PKI (Public Key Infrastructure) или инфраструктура открытых ключей (ИОК) является важным технологическим компонентом для реализации электронно-цифровой подписи. По сути ИОК - это набор служб и сервисов для издания, хранения, проверки, приостановления действия, обновления и отзыва цифрового сертификата открытого ключа подписи. Цифровые сертификаты открытых ключей подписи издаются удостоверяющими центрами (УЦ).

"Традиционными" сферами применения ЭЦП являются банковские системы (в частности, e-banking), электронная торговля, биллинговые системы, система мобильных платежей, передачи телеграфных и телематических сообщений и др. Для организаций корпоративного сектора двумя важнейшими "ветвями" применения PKI является поддержка комплексной системы защиты информации, использующей криптографические средства, и построение на ее основе корпоративного защищенного документооборота.

Круг задач по обеспечению безопасности, решаемый с помощью внедреной инфраструктуры открытых ключей, достаточно широк. В частности к ним относятся:

  • защита от несанкционированного доступа к персональным компьютерам, серверам и рабочим станциям
  • обеспечение достоверности, безопасности и целостности транзакций, электронных документов или почтовых сообщений;
  • строгая аутентификация пользователей и программных сервисов;
  • ведение электронной коммерции;
  • защита электронной почты;
  • контроль происхождения транзакции, документа или почтового сообщения;
  • установление достоверного времени создания документа/транзакции;
  • шифрование файлов и трафика.

Результаты исследования "Криптографические сервисы ИБ на основе инфраструктуры открытых ключей (PKI)", проводимого журналом Information Security показали, что с точки зрения востребованности возможностей PKI в области безопасности 69.9% выбрали аутентификацию и управление доступом пользователя при регистрации в ИС предприятия.

Технологии PKI, как базовая составляющая для реализации процедур с использованием ЭЦП, обеспечивает возможность пользователю подписывать или шифровать сообщение. Эти взаимодополняющие процессы служат доказательством идентичности пользователя. Например, при входе в операционную систему Windows по смарт-карте, пользователь получает некие реквизиты для удостоверения личности, которые зашифрованы с помощью открытого ключа пользователя. Эти реквизиты имеют смысл, только если они расшифрованы. При этом исключительно владелец закрытого ключа в состоянии их расшифровать. Владение этими реквизитами считается доказательством идентичности пользователя.

В условиях постоянного роста угроз, связанных с инсайдерской активностью, утечкой конфиденциальных данных выбор участников исследования выглядит вполне логично. PKI позволяет создать иерархичную, прозрачную и управляемую систему контроля доступа с возможностью отзыва сертификата в случае увольнения сотрудника и приостановлением действия – во время отпуска. Понятно, что в случае приостановления действия сертификата никто не сможет воспользоваться правами ушедшего в отпуск сотрудника для несанкционированного доступа к информационным ресурсам.

Корпоративный электронный документооброт (ЭДО) – вторая важнейшая задача, которую решает применение инфраструктуры открытых ключей. За преимущества использования юридически значимых документов по данным того же источника отдали свои голоса 80.8% респондентов. ЭДО позволяет существенно облегчить работу с документами, повысить оперативность их обработки, но самое главное – обеспечить конфиденциальность электронной переписки.

Критически важным свойством ЭЦП является неотказуемость или неотрекаемость. Подписав электронное сообщение своей ЭЦП, мы тем самым гарантируем его достоверность и обеспечиваем целостность. После отправки подписанного документа, подписывающее лицо не сможет отрицать факт его подписания. Таким образом, отправитель не может отказаться от совершенного действия. Неотказуемость, как свойство ЭЦП, дает возможность использовать документы, подписанные с помощью ЭЦП, в качестве доказательной базы в суде, и обеспечивает неотменяемость электронных заказов или распоряжений.

Таким образом, создание и использование инфраструктуры открытых ключей является эффективным, гибким и высокотехнологичным методом для решения ряда важных технологических задач, стоящих перед современными корпорациями. Рассмотрим возможные варианты развёртывания инфраструктуры открытых ключей и построения корпоративного удостоверяющего центра.

Строим PKI: способ первый, простой

Самый простой и распространенный вариант построения инфраструктуры открытых ключей в масштабе корпорации заключается в развертывании удостоверяющего центра Microsoft Certification Authority. Такой тип УЦ называется корпоративный. УЦ Microsoft Certification Authority входит в состав стандартной поставки серверных версий операционных систем Windows Server 2000/2003. В качестве криптопровайдера при этом обычно используется также входящий в состав различных версий Windows набор криптографических библиотек (Microsoft Base Cryptographic Provider и другие).

Главным преимуществом такого подхода является низкая стоимость решения и отработанные технологии интеграции. Использование входящих в комплект поставки ОС криптографических средств позволяет существенно уменьшить первоначальные расходы на построение корпоративной системы PKI. Однако при реализации такого варианта компания должна быть готова к возможным проблемам. Первая из них - это относительно невысокая надежность защиты. При такой системе все криптографические ключи записываются в обычное хранилище Windows, что не соответствует современным представлениям о высокой степени информационной безопасности. Основная проблема программных хранилищ состоит в том, что их надежность зависят от безопасности среды, в которой они постоянно находятся, то есть - компьютере. Персональные компьютеры небезопасны: как только получен физический доступ, или машина заражена вирусом, закрытый ключ пользователя может быть скомпрометирован.

К этому стоит добавить, что факт атаки может остаться незамеченным для пользователя, и злоумышленник в течение долгого времени сможет расшифровывать корреспонденцию легального пользователя и отправлять от его имени и за его подписью фальсифицированную информацию. Таким образом, не может быть достигнута как конфиденциальность и целостность информации, так и неотрекаемость ЭЦП. Именно поэтому программное хранилище обеспечивает относительно низкий уровень безопасности, и его использование в организациях, оперирующих конфиденциальной информацией, должно быть минимизировано, а лучше полностью сведено на нет.

Стоит добавить, что при таком типе построения корпоративного УЦ, используются не сертифицированные криптосредства. Поэтому любой участник информационного обмена может заявить о своих сомнениях в подлинности такой ЭЦП. Согласно действующим нормативным актам, сертификат соответствия, выданный средству защиты, подтверждает его качество. В случае необходимости подтверждения достоверности ЭЦП, без сертификата обратиться к эксперту за заключением, подтверждающим или опровергающим фальсификацию ЭЦП, невозможно.

Получение лицензии на деятельность такого УЦ не обязательно, поскольку для внутрикорпоративной деятельности или отношений в рамках "корпорация - корпорация" в этом необходимости нет.

Аккредитовать корпоративный УЦ невозможно, поскольку официальное признание уполномоченным федеральным органом требует выполнения удостоверяющим центром требований, установленных ФЗ об ЭЦП.

Строим PKI: способ второй, правильный

Второй подход к реализации корпоративной системы PKI заключается в выполнении всех требований, определенных действующим законодательством. В первую очередь это относится к криптопровайдеру. Он должен реализовывать процедуры формирования и проверки электронной цифровой подписи в соответствии с отечественными стандартами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, а также иметь сертификат соответствия Федеральной Службы Безопасности. На сегодняшний день наиболее распространенными криптопровайдерами, удовлетворяющими этим условиям, являются продукты CSP "Крипто-ПРО" и Signal-COM CSP.. Необходимо также использовать сертифицированное ПО для УЦ ("КриптоПро УЦ" или Notary-PRO)

Стоит отметить, что порядок функционирования такого УЦ, определяется корпоративным договором, из которого следуют как взаимные обязанности пользователей и УЦ, так и мера ответственности сторон при их возможном нарушении. Подчеркнем, что для надёжной защиты ключевой информации необходимо использовать сертифицированные аппаратные средства, представляющие собой доверенную среду для хранения закрытых ключей (например, eToken PRO cert.).

В отличие от корпоративных удостоверяющих центров, УЦ общего пользования могут оказывать различные услуги, связанные с ЭЦП юридическим и физическим лицам (в том числе, и подачу налоговой отчетности в Пенсионный Фонд, налоговую инспекцию и др). Эти УЦ, построенные в соответствии с требованиями ФЗ об ЭЦП должны проходить процедуру аккредитации, суть которой фактически сводится к регистрации самоподписанного сертификата УЦ в реестре Уполномоченного Федерального Органа. УФО проверяет представленную удостоверяющим центром документацию (концепцию безопасности и соблюдение требований ФЗ) и в случае положительного результата выдает УЦ свидетельство об аккредитации. При этом обязанности и ответственность сторон определяется в Регламенте УЦ.

Установление отношений доверия между УЦ

Когда две (или более) организаций, в инфраструктурах которых развернуты корпоративные УЦ, испытывают потребность в информационном обмене – они должны установить так называемые отношения доверия.

В ряде случае случаев, для признания двух корпоративных УЦ в качестве доверенных сторон друг для друга вполне достаточно заключения двустороннего (или более) соглашения о доверии. То есть две организации подписывают спецсоглашение и после этой несложной процедуры, согласно Гражданскому Кодексу РФ, они действуют в рамках правовой ответственности перед друг-другом. На практике электронная цифровая подпись под любыми документами, которыми они будут обмениваться, для этих сторон может считаться аналогом подписи собственноручной.

Но если компании заинтересованы в использовании защищенного юридически значимого электронного документооборота и хотели бы, чтобы документы одной системы, подписанные ЭЦП, безоговорочно принимались другой системой – процедура взаимного признания несколько усложняется. Для этой цели применяется кросс-сертификация УЦ, суть которой в объединении домена доверия между двумя структурами, каждая из которых поддерживается своим УЦ.

Кросс-сертификация является двусторонней операцией: оба УЦ выдают сертификаты друг-другу, согласуют политики информационной безопасности, а также, при необходимости, юридические аспекты взаимодействия, и после этого между участниками информационного обмена (допустим между бизнес-партнёрами или, скажем, вендором и его партнёрами) образуются доверительные связи.

Сразу оговоримся, что таким образом строятся отношения доверия между однотипными корпоративным УЦ. УЦ в организациях, связанных той или иной формой подчинения, как правило, используют иерархические отношения.

Безопасность удостоверяющих центров

Наличие разработанной политики безопасности (в терминологии ФЗ – концепция безопасности) удостоверяющего центра является необходимым условием для создания УЦ. Статья 6 ФЗ однозначно удостоверяет, что УЦ до начала своей деятельности должен представить УФО концепцию безопасности удостоверяющего центра, включая меры по обнаружению подделки сертификата подписи.

Основное требование к безопасности при использовании электронной цифровой подписи состоит в том, что закрытые ключи должны быть доступны только их владельцам. Если злоумышленник может получить закрытый ключ какой-либо из сторон информационного обмена, это означает, что он легко может расшифровать все сообщения, посланные этой стороне. Кроме того, он может подписать любое сообщение от имени легального пользователя, и успешно исполнить его роль в информационном обмене.

Более тонкий вопрос, который возникает в этом случае, заключается в том, что неотказуемость ЭЦП, можно также считать утраченной, как только пользователь получит возможность утверждать, что его закрытый ключ мог быть нелегально использован (неважно, действительно ли фактическое воровство имело место или нет). Признание того факта, что закрытый ключ пользователя мог быть применён нелегально, является основанием для поддержки судом заявления о том, что подписанный заказ, финансовый документ или приказ является фальсификацией. Безусловно, наличие такой возможности у недобросовестных пользователей могло бы иметь разрушительные последствия для системы электронных цифровых подписей в юридическом контексте транзакций.

Использование программных контейнеров (как в случае со штатными средствами MS CA) для хранения закрытых ключей пользователя в памяти ПК, на отчуждаемых носителях (дискетах, СD) не обеспечивает должного уровня безопасности закрытого ключа. В связи с этим PKI-решения, предполагающие применение таких средств, заведомо уязвимы.

На данный момент, единственной надёжной альтернативой указанным способам хранения является использование аппаратных электронных ключей или токенов. Они обеспечивают сохранение в тайне закрытых ключей пользователя на всех этапах их жизненного цикла (генерация ключевой пары, хранение, использование и уничтожение закрытого ключа) и являются специализированными устройствами, архитектура которых базируется на микросхеме смарт-карты. В таких устройствах выполняются все криптографические операции с закрытым ключом, а сам закрытый ключ никогда не покидает устройство и не может быть из него извлечён.

Компания, использующая аппаратные токены в качестве защищенных хранилищ для закрытых ключей при организации корпоративной системы PKI, получает в своё распоряжение эффективный инструмент для защиты не только внутреннего, но и внешнего электронного документооборота. Развертывание инфраструктуры токенов в рамках компании является базовой платформой для дополнительных защитных мер, таких как безопасный доступ к информационным ресурсам, контроль физического доступа и контроль доступа к приложениям.

Резюмируя вышесказанное, кратко перечислим основные задачи по обеспечению информационной безопасности УЦ:

  • защита конфиденциальной информации (закрытые ключи УЦ, ключевая информация СКЗИ, личная информация, охраняемая в соответствии с действующим законодательством, парольная информация и информация аудита и т.п.) при ее хранении, обработке и передаче;
  • контроль целостности конфиденциальной и открытой информации (информация о владельцах, входящая в состав сертификатов, информация об отозванных сертификатах, свободно распространяемые программные компоненты (и документация к ним) и т.п.);
  • контроль целостности программных и аппаратных компонент комплекса;
  • обеспечение безотказной работы.

Будущее технологий PKI в корпоративном секторе

На сегодняшний день на территории России официально зарегистрированы и работают 110 удостоверяющих центров в 47 объектах РФ . Однако, судить о распространении PKI, опираясь на эту цифру, не верно. Ведь речь идёт лишь об УЦ занесенных в реестр УФО. На практике же в отечественных организациях в большинстве своём функционируют рассмотренные нами корпоративные УЦ, общее число которых подсчитать практически не представляется возможным. Таким образом мы имеем два направления развития УЦ, неравноправных по отношении к друг-другу, но при этом реализующих свою деятельность и удовлетворяющих свои потребности независимо друг от друга. Не смотря на некую разрозненность, общее осознание рынком необходимости внедрения технологий, базирующихся на инфраструктуре открытых ключей, становится все более очевидным. Показательным с этой точки зрения являются многочисленные профессиональные специализированные мероприятия, на которых встречаются и обсуждают возможности развития технологий PKI, создания системы УЦ и регулирование их деятельности, а также перспективы развития ИОК в мобильных системах представители государственного и корпоративного секторов. В частности, показательным с этой точки зрения является недавно прошедший "PKI-форум 2007", а также конференция "Обеспечение информационной безопасности. Региональные аспекты -2007", в рамках которой значительное место отводилось сервисам, основанным на инфраструктуре открытых ключей. Стоит отметить растущую заинтересованность в технологиях PKI со стороны участников внешнеэкономической деятельности, разработчиков и поставщиков продуктов защиты информации в развитии инфраструктуры трансграничного информационного обмена, имеющего юридическую силу, для оптимизации логистических процедур экспорта и импорта.

Часто от скептически настроенных компаний можно слышать, что причиной отсутствия мощных инвестиций в автоматизацию документооборота является невысокая прибыль. По данным уже упоминавшегося здесь НТЦ ИнтерТрастИнфо, 71% УЦ по-прежнему работают в зоне риска. Однако есть все основания полагать, что ситуация всё-таки выравнивается, ведь еще в 2006 эта цифра была равна 80%.

Более того, сегодня объем рынка систем электронного документооборота (СЭД) в России активно растет: за последние 2 года он вырос почти в два раза: к концу 2006 года по данным Cnews его объём составил более чем $550 млн. При этом по прогнозам, темпы роста в 2006-2007 годах составят 20-25%.

Ника Комарова, руководитель направления PR, компания Aladdin