Управление открытыми ключами

Виктор Ивановский
Руководитель отдела системного администрирования ГК "Системные технологии", MCTS, MSCA, МСТ

Интернет представляет, по сути, очень агрессивную среду. Открытость протоколов и постановка во главу угла принципа максимальной доступности сведений неизбежно влечет за собой появление большого числа возможностей для атак на информацию. Под атаками в данном случае понимается любое действие злоумышленника, будь то искажение, порча или перехват информации.

От теории к практике

Со всеми перечисленными проблемами можно успешно бороться с помощью систем защиты на базе открытых ключей. Если изначально алгоритмы разрабатывались с целью организации надежного шифрования, то теперь открытые ключи служат и для идентификации пользователей и компьютеров, и для контроля целостности сообщений. Рост числа сфер применения одной и той же системы приводит к тому, что растет число абонентов системы, плюс возникают несколько других проблем, требующих особого внимания.

Задача управления разветвленной системой удостоверяющих центров уже перешла из разряда теоретических в практическую плоскость. Современные инструменты, встроенные в серверные системы Windows Server 2008/2008 R2, как, например, Enterprise PKI, позволяют делегировать полномочия по управлению отдельными ветками различным администраторам и отслеживать состояние всех подчиненных удостоверяющих центров, осуществлять централизованный контроль за работой всей системы.

Настоящие же задачи заключаются в том, что необходимо сделать инфраструктуру открытых ключей максимально масштабируемой (нужно предусмотреть возможность добавления дочерних удостоверяющих центров), максимально гибкой (возможность использования открытых ключей как можно в большем числе бизнес-процессов) и максимально защищенной (исключение возможности компрометации ключей).

Инфраструктура открытых ключей

Ключевой считается проблема масштабируемости. В любой системе должна быть заложена возможность к расширению. В случае инфраструктуры открытых ключей под развитием мы понимаем, во-первых, увеличение числа абонентов ключевой системы, а во-вторых, повышение надежности механизмов безопасности, предоставляемых с помощью PKI. И первое, и второе ведет к повышению нагрузки на серверы ключевой системы (как на центры регистрации и сертификации, так и на удостоверяющие центры).

Нагрузка, во-первых, связана с осуществлением регулярной деятельности PKI. Примером может служить включение системы онлайн-проверки сертификатов по протоколу OCSP (online certificate status protocol). Данный стандарт проверки актуальности действующих ключевых документов, созданный в 1999 г. в RFC 2560, является альтернативой использованию списков отзыва сертификатов (CRL -certificate revocation list). В случае большого числа абонентов и необходимости отслеживать в реальном времени состояние сертификатов абонентов OCSP будет предпочтительней использование CRL. При этом авторизация с помощью сертификатов может производиться не только на серверах приложений, но и на активном сетевом оборудовании. Представьте себе систему из десятка тысяч абонентов, постоянно авторизующихся на роутерах в прозрачном режиме. При этом маршрутизаторы будут отправлять на удостоверяющие центры запросы по протоколу OCSP, что повлечет за собой рост сетевой  нагрузки  на  серверы УЦ. Выходом из этой ситуации будет построение многоуровневой иерархической структуры удостоверяющих центров, нагрузка на которые будет распределяться равномерно в соответствии с числом абонентов.

Во-вторых, неизбежен рост нагрузки на систему в моменты массовой смены ключей. Обычно замена производится в плановом порядке после того, как истекает срок действия сертификата пользователя или устройства. Но существует вероятность того, что за короткий промежуток времени необходимо будет произвести замену сертификатов большого числа абонентов. Этот момент наступает при смене ключей удостоверяющего центра. В этом случае каждый абонент системы будет обязан также заменить свой ключ. Данная проблема частично решается организационными методами, в частности созданием планов поэтапного перевода абонентов на ключи новой серии. В противном случае, если число абонентов велико, число серверов регистрации недостаточно, велика вероятность нарушения штатной работы системы PKI.

Таким образом, мы приходим к необходимости построения многоуровневой системы PKI, спроектированной с учетом распределения как регулярной, так и пиковой нагрузки между удостоверяющими центрами различных уровней. Изменяя иерархическую структуру, мы сможем влиять на нагрузку, систему и повышать качество функционирования сервисов.