Ольга Полянская - Инфраструктуры открытых ключей

* серверы LDAP;

* агенты системы каталога X.500;

* OCSP-респондеры (серверы, обслуживающие запросы пользователей по онлайновому протоколу статуса сертификата); хотя, как установлено документом RFC 2560 [155], OCSP-респондер публикует только информацию об аннулировании;

* система доменных имен DNS (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2538 [153]);

* web-серверы (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2585 [156] и могут быть получены по протоколу передачи гипертекста HTTP);

* ftp-серверы (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2585);

* корпоративные базы данных, которые могут содержать информацию о сертификатах и их аннулировании и обладают адекватными механизмами управления и доступа.

Как следует из приведенного списка, клиентские системы могут получать информацию из этих репозиториев посредством разных протоколов доступа (хотя в корпоративных PKI доминирует протокол LDAP). В идеальном случае это позволяет практически любым конечным субъектам получать в ответ на запросы сертификаты и списки САС. В корпоративной сфере обычно поддерживается анонимный доступ к сертификатам и информации об аннулировании. Но при передаче сертификатов и списков САС в репозиторий важен контроль доступа, поскольку несанкционированный доступ может угрожать безопасности (например, один САС может быть подменен другим списком или сертификаты конечных пользователей могут быть заменены друг на друга).

Клиентское программное обеспечение может определять местонахождение репозитория несколькими способами. Например, файл конфигурации локального клиента может быть инициализирован по IP-адресу или DNS-именам основного и дополнительного LDAP-серверов. Для указания места, где размещается необходимая информация или сервис, могут также использоваться дополнения сертификатов. Частное дополнение Authority Information Access (доступ к информации об УЦ) может применяться в качестве указателя на OCSP-респондер, связанный с издателем сертификата, а частное дополнение Subject Information Access (доступ к информации о субъекте) может содержать указатель на репозиторий УЦ, являющегося субъектом. Местонахождение информации об аннулированных сертификатах также указывается в дополнении сертификата CRL Distribution Points (пункты распространения САС).

Итак, к основным характеристикам репозитория можно отнести [10]:

* прозрачность местонахождения;

* производительность и доступность;

* анонимность и возможность аутентификации доступа;

* функциональную совместимость.

Прозрачность местонахождения репозитория. В одних случаях клиент обращается с запросом о необходимой информации к единственному серверу репозитория. Если данный сервер не хранит эту информацию, то от имени клиента обеспечивает ее поиск на других серверах, причем сложность операции поиска скрыта от клиента. В других случаях сервер просто передает клиенту указатель местонахождения необходимой информации. Если искомая информация не хранится локально, то клиент уведомляется сообщением протокола об ошибочности запроса к репозиторию.

Производительность и доступность. Иногда доверяющие стороны сталкиваются с запаздыванием ответа от сервера репозитория. Пока их запросы не обработаны, клиенты не могут пользоваться необходимыми сервисами безопасности. Для управления задержками необходимо обеспечивать масштабирование системы репозитория адекватно росту числа абонентов и частоте информационных запросов. Система репозитория должна быть спроектирована таким образом, чтобы его доступность была максимальной даже при отказе одного или нескольких компонентов.

Анонимность и возможность аутентификации доступа. В самой общей модели доступа репозиторий предоставляет информацию без аутентификации клиента. В этом случае расходы на поддержку репозитория являются частью издержек организации на развертывание PKI. Это характерно для бизнес-модели, в которой вложения в PKI осуществляются организацией, которая развернула инфраструктуру, или издержки закладываются в стоимость каждого выпущенного сертификата. Альтернативный подход заключается во взимании платы за доступ к репозиторию. В этом случае при обращении к репозиторию необходима идентификация и аутентификация каждого клиента. Такая бизнес-модель переносит издержки с владельцев сертификатов на доверяющие стороны.

Функциональная совместимость. Взаимодействие репозитория с удостоверяющими центрами, доверяющими сторонами и другими репозиториями невозможно без поддержки функциональной совместимости систем участников PKI.

Особенности использования корпоративного репозитория

Рациональное использование одного или нескольких общедоступных корпоративных репозиториев имеет ряд преимуществ. Одно из них заключается в том, что многие организации на момент развертывания PKI уже поддерживают некоторую систему корпоративного репозитория, и в нее достаточно просто внести дополнительную информацию, относящуюся к сертификатам открытых ключей. В отличие от ранее обсуждавшейся возможности частного распространения, когда пользователи обмениваются сертификатами только с теми, кого они знают, данный метод позволяет совершенно незнакомым друг с другом субъектам устанавливать отношения для дальнейшей коммуникации. Он также обеспечивает централизованное размещение искомой информации, что по сравнению с вариантом частного распространения позволяет существенно уменьшить количество сертификатов и списков САС, которые должны храниться локально.

Наконец, в силу того, что сертификаты и списки являются "самозащищенными" (то есть их целостность гарантируется цифровой подписью), сам механизм хранения ( репозиторий ) не нуждается в защите, с точки зрения целостности данных. Если же в репозитории хранится информация, которая не является "самозащищенной", то она должна быть защищена другими средствами. Например, ответы OCSP-респондера, содержащие информацию об аннулированных сертификатах, должны заверяться цифровой подписью для гарантии целостности ответов (включая целостность источника и данных). Более того, если репозиторий хранит обычные открытые ключи и/или списки САС, база данных репозитория должна быть защищена от несанкционированной модификации.

Отсутствие необходимости защищать репозиторий считается главным преимуществом при развертывании PKI. С другой стороны, развертывание онлайновых репозиториев связано с оперативным обслуживанием больших сообществ пользователей (порядка миллиона человек), поэтому количество необходимых организации репозиториев может быть значительным. Следовательно, могут возникнуть проблемы с репликацией информации через многие репозитории (например, снижение производительности, задержки распространения и проблемы синхронизации). К недостаткам можно отнести и то, что, хотя целостность PKI-информации, хранимой в репозитории, защищена, репозитории могут подвергаться атакам типа "отказ в обслуживании".

Хранимая в репозитории информация все же требует контроля доступа для предотвращения несанкционированной модификации данных, а также защиты конфиденциальности, когда это диктуется секретностью данных. Общедоступные корпоративные репозитории могут хранить и секретную информацию, особенно если она содержится в сертификатах и/или списках САС (хотя такое размещение не рекомендуется). Даже если в сертификатах не указывается ничего секретного, очевидно, что информация о внешних клиентах, инфраструктуре корпорации, именах и телефонах служащих, а также полученные на ее основании агрегированные данные носят конфиденциальный характер.

На уровне корпоративного домена возрастает риск того, что бесконтрольное распространение сертификатов и информации об аннулированных сертификатах приведет к росту потенциальной уязвимости. Вместе с осознанием риска растет нежелание организаций открывать доступ к корпоративным базам данных и потребность в методах масштабируемого распространения сертификатов и информации об аннулировании, позволяющих защитить организации от потенциальных угроз безопасности. В этом случае концепция общедоступного хранилища корпоративной базы данных должна быть приведена в соответствие с определенными корпоративными политиками, учитывающими то, что информация в репозитории по своей природе является конфиденциальной и, следовательно, не может быть полностью открытой.