Комментарий эксперта

Комментарий эксперта

Юрий Кузьмин,
Начальник отдела информационной безопасности
Компании «Финнет-Сервис»

Говоря о поддержке PKI на клиентском рабочем месте, следует отметить, что предпочтительнее здесь использовать "умные" носители ключевой информации, способные производить криптографические преобразования и имеющие встроенные средства аутентификации пользователя. Наиболее интересными представляются решения, базирующиеся на Smart-картах и USB-токенах, в которых секретный ключ генерируется носителем и никогда не его не покидает. При этом все криптографические вычисления производятся внутри самого носителя информации. Однако и здесь есть свои недостатки – например, невысокая производительность криптографических вычислений в таких носителях.

К сожалению, разработчики СКЗИ редко в полной мере применяют обширную функциональность, обеспечиваемую "умным" носителем. В подавляющем большинстве СКЗИ используется только возможность хранения данных с доступом к ним по паролю.

Незаслуженно мало внимания в системах отечественной разработки уделяется защите ключевой информации на сервере PKI-системы. Очевидно, компрометация секретного ключа удостоверяющего центра чревата куда большими проблемами, чем компрометация ключа одного из его пользователей. Использование Hardware Security Module (HSM) в серверных компонентах PKI-систем давно стало стандартом на Западе. У нас же, как правило, если российский разработчик удостоверяющего центра и заявляет необходимость использования специализированного аппаратного криптографического устройства, то только в качестве аппаратного генератора случайных чисел. Между тем HSM должен являться безопасным хранилищем ключевой информации и удовлетворять потребности системы в защищенных криптографических вычислениях.

Выход видится в разработке и внедрении отечественных высокопроизводительных аппаратных модулей безопасности, которые: имеют стандартизованные интерфейсы для удобства встраивания в конечную систему (PKCS#11, CryptoAPI, OpenSSL); реализуют гостированные криптоалгоритмы; сертифицированы уполномоченными органами; имеют защиту от вмешательства как на аппаратном, так и на программном уровне.

К сожалению, на сегодняшний день на отечественном рынке коммерческого криптооборудования нет решений, удовлетворяющих всем этим требованиям.

Применимость конкретного типа аутентификации можно рассматривать только в контексте конкретной системы и уровня конфиденциальности. В одной системе может быть достаточно парольной аутентификации, в другой должна быть использована Smart-карта, а в третьей необходима биометрия.

В корпоративных системах удобно использовать Smart-карту большого объема, которая может являться носителем всех данных сотрудника и служить ему средством доступа к информации. Карта позволяет решать следующие задачи: обеспечивать доступ на объект при пропускном режиме, ограничивать доступ в помещения, входить в систему (Logon), выполнять криптографические операции, хранить сертификаты и ключи в PKI-системе, пароли приложений, шаблоны (Template) биометрических данных и даже содержать банковское приложение. Естественно, использование такого идентификатора на предприятии требует внедрения системы управления, и они на рынке представлены с различной функциональностью и в разных ценовых диапазонах.

В нашей компании завершающий этап тестирования проходит Single Sign-on-решение PKI, которое позволит нам сократить расходы на сопровождение системы, упростит ее администрирование, повысит безопасность работы в сети и защиту работы пользователей с критичными приложениями.