Ольга Полянская - Инфраструктуры открытых ключей

Пример 13.1. Чтобы понять отличия между политикой безопасности, механизмами и процедурами, рассмотрим следующий сценарий [70]. Пусть, например, компания-производитель автомобилей желает защитить проекты новых моделей от своих конкурентов. Компания решает ограничить доступ в то здание, где разрабатываются модели новых автомобилей, и пропускать туда только сотрудников группы проектирования. С этой целью предлагается использовать считыватель карт с магнитной полосой. Дверь должна автоматически открываться, когда сотрудник группы проектирования "прокатывает" через считывающее устройство свою идентификационную карту, и автоматически запираться на замок, когда сотрудник закрывает дверь за собой.

Компания нанимает по контракту специалиста, который устанавливает новый считыватель карт в течение одной недели, когда все служащие компании находятся на рождественских каникулах. Он переносит необходимые данные о сотрудниках группы проектирования на карты с магнитной полосой и рассылает по электронной почте инструкции всем сотрудникам домой. Инструкции описывают, как открыть дверь при помощи идентификационной карты и считывателя. Сами карты с магнитной полосой доставляются служащим на домашний адрес по почте.

В этом примере компания выбирает правильную политику безопасности, ограничивая доступ в здание, где ведется разработка новых моделей автомобилей. Механизмом реализации политики безопасности служит считыватель карт. Процедуры заключаются в действиях специалиста по кодированию карт, рассылке каждому сотруднику сообщений с инструкцией на его электронный адрес и доставке карт по почте на его домашний адрес. Тем не менее нельзя сказать, что в результате процесс проектирования новых моделей автомобилей будет хорошо защищен.

Компания имеет простую и разумную политику. Однако предложенное сочетание механизмов и процедур - довольно ограниченная по средствам реализация этой политики. Данный механизм полностью не предотвращает проникновение злоумышленника в здание, поскольку идентифицирует сотрудников группы проектирования только по признаку владения картой. Злоумышленник может войти следом за владельцем карты, если тот не закрыл за собой дверь, или обеспечить себе доступ в здание, каким-либо образом получив идентификационную карту сотрудника, имеющего право доступа (например, выкупив у специалиста, установившего считыватель карт, дополнительную карту или похитив карту при почтовой рассылке).

Компания могла бы усовершенствовать реализацию своей политики, усиливая механизмы безопасности или процедуры, или и то и другое вместе. Установка дополнительного турникета гарантировала бы проход в здание по каждой предъявленной карте только одного человека. Используя считыватель с дополнительной клавиатурой, компания могла бы требовать от сотрудников группы проектирования для прохода в здание не только пользоваться картой, но и вводить PIN-код. В этом случае задача злоумышленника усложняется: чтобы получить возможность пройти в здание, необходимо достать карту и узнать PIN-код пользователя. Следующим усовершенствованием может быть добавление к считывателю карт биометрического устройства, тогда злоумышленнику потребуется отпечаток пальца или рисунок сетчатки глаза сотрудника, имеющего право доступа.

Но даже если компания не имеет возможности приобрести новые средства защиты, она может повысить безопасность, усовершенствовав процедуры. Во-первых, пользователей необходимо обязать закрывать за собой дверь. Во-вторых, можно разработать процедуры доставки идентификационных карт, снижающие риск попадания карты в чужие руки. В-третьих, для кодирования магнитных карт компания может использовать свою собственную службу безопасности, а также выдавать карты служащим персонально после предъявления ими удостоверений личности по списку, представленному руководством компании или сформированному отделом кадров.

Чтобы гарантировать адекватность защиты, обеспечиваемой системой безопасности, должны быть проверены политики, механизмы и процедуры. Если речь идет о такой системе безопасности, как PKI, то от предлагаемой политики и процедур зависит возможность использования сертификатов в определенных приложениях. Политики и процедуры регулируют операционную работу удостоверяющих и регистрационных центров, репозиториев, а также действия пользователей. Доверяющие стороны принимают решения о применимости сертификатов в своих приложениях, анализируя политики и процедуры, которые были реализованы издателем сертификатов.

Основные требования к политике PKI можно сформулировать следующим образом:

* соответствие общей корпоративной политике безопасности ;

* четкость и однозначность формулировок;

* доступность изложения;

* разграничение ответственности между субъектами PKI;

* адекватность ограничений и пределов ответственности требованиям сферы приложения сертификатов.

Несмотря на свою сложность, PKI - пока только часть любой инфраструктуры безопасности организации, поэтому политика PKI должна формироваться в русле общей корпоративной политики безопасности и не противоречить ей. Очевидно, что могут возникнуть серьезные проблемы, если, например, политика PKI разрешает выпуск сертификатов для аутентификации электронных транзакций на сумму до 10 млн. долларов, в то время как корпоративная политика безопасности устанавливает соответствующий предел в 1 млн. долларов [10].

Политика должна давать ясное и четкое представление о функционировании PKI, не допуская неправильных интерпретаций и толкований. Продуманная политика позволяет избежать многих ошибок пользователей и способствует принятию ими осознанных решений при работе в системе PKI. Политика должна устанавливать ответственность субъектов PKI в случае любой проблемной ситуации, например, предусматривать ответственность доверяющей стороны за причиненный ущерб в результате недобросовестной проверки сертификата. Необходимо, чтобы политика PKI защищала не только систему, но и пользователей, которые не всегда обладают достаточными юридическими или техническими знаниями, чтобы в должной мере представлять себе работу PKI. Доступность изложения политики способствует правильному пониманию пользователями ответственности сторон и позволяет избежать многих ошибок в применении сертификатов.

Политика PKI должна распределять ответственность между субъектами системы и разумно ограничивать ее в зависимости от роли и функций каждого. Так, например, ответственность за начальную идентификацию и аутентификацию субъектов чаще всего возлагается на РЦ. Ответственность обычно ограничивается верхним предельным значением суммы (в стоимостном выражении) каждой допустимой PKI-транзакции. Ограничения могут распространяться также на частоту и источник транзакций. Устанавливаемые ограничения и пределы ответственности должны быть разумными и не сдерживать коммерческую деятельность предприятий, использующих в своей деятельности сертификаты открытых ключей.

Как определено стандартом организации IETF RFC 2527 Certificate Policy and Certification Practices Framework [152], основными документами, описывающими политики и процедуры, связанные с PKI, являются политика применения сертификатов (ППС) и регламент УЦ. Эти документы имеют одинаковый формат, но разное назначение, и адресованы разным лицам. Документ о политике применения сертификатов можно сравнить с ответом на вопрос "что?", а регламент - с ответом на вопрос "как?" в отношении безопасного использования сертификатов. Они позволяют согласовывать политики разных организаций, хотя объем и сложность большинства документов, содержащих ППС и регламент, делают этот процесс достаточно трудоемким.

Политика применения сертификатов

В соответствии с международным стандартом ISO/IEC 9594-8/ITU-T Recommendation X.509 [78] под политикой применения сертификатов понимается установленный набор правил, характеризующих возможность применения сертификатов определенным сообществом субъектов и/или классом приложений с определенными требованиями безопасности. Политика применения сертификатов (ППС) - это документ, описывающий политику безопасности в отношении выпуска сертификатов и распространения информации о статусе сертификатов. Эта политика безопасности регламентирует операционную работу УЦ, а также регулирует ответственность пользователей при получении и использовании сертификатов и ключей. ППС гарантирует защищенность всего жизненного цикла сертификатов, начиная от их генерации и заканчивая аннулированием или истечением срока действия.