С целью предотвращения негативных последствий от попыток выбора решения под воздействием рекламных материалов или цены продукта и была написана эта статья, в которой производится сравнение ведущих решений по созданию PKI, и делается попытка позиционировать эти решения на тот или иной сегмент рынка.
Оглавление
Введение
Существует широкий круг задач по обеспечению достоверности, безопасности и целостности информации, внутри информационной структуры Вашей организации, решение которых средствами, отличными от Инфраструктуры Открытых Ключей (PKI), приведет к неоправданным финансовым тратам и в то же время несоразмерно усложнит имеющуюся информационную структуру. Наиболее актуальные задачи, решаемые внедрением PKI, включают в себя:
- Обеспечение достоверности, безопасности и целостности транзакций, электронных документов или почтовых сообщений;
- Строгая аутентификация пользователей и программных сервисов;
- Строгая аутентификация аппаратных устройств;
- Ведение электронной коммерции;
- Защищенная электронная почта;
- Контроль происхождения транзакции, документа или почтового сообщения;
- Установление достоверного времени создания документа/ транзакции.
В случае, когда необходимость внедрения PKI в информационную структуру Вашей организации — уже объективная реальность, перед Вами встает нелегкая задача выбора конкретной реализации PKI. Выбор реализации будет во многом определять как возможность интеграции с существующей структурой, так и всю будущую информационную инфраструктуру организации, основой которой должна стать внедряемая PKI.
С целью предотвращения негативных последствий от попыток выбора решения под воздействием рекламных материалов или цены продукта и была написана эта статья, в которой производится сравнение ведущих решений по созданию PKI, и делается попытка позиционировать эти решения на тот или иной сегмент рынка.
Для проведения сравнения были выбраны решения удовлетворяющие основным требованиям, предъявляемым к корпоративным продуктам:
- Поддержка большого количества пользователей
- Высокая производительность и надежность решения
- Масштабируемая, гетерогенная и легко расширяемая архитектура
- Поддержка открытых стандартов
- Поддержка или намерение о поддержке Российских стандартов шифрования и электронной цифровой подписи
- Разделение ключей шифрования и электронной цифровой подписи
- Разделение ролей администратора системы, администратора безопасности, аудиторов и конечных пользователей (в соответствии с профилем защиты)
- Гибкая и стандартизированная система управления, аудита и генерации отчетов
- Наличие персонального менеджера сертификатов (клиентской части)
- Поддержка системы единократной аутентификации
- Возможность интеграции в системы ERP, базы данных и средств защиты
- Корпоративный уровень технической поддержки продукта
Из решений, представленных на мировом рынке PKI, наиболее полно соответствуют вышеприведенным параметрам следующие продукты:
- Entrust Authority 6.0
- iPlanet Certificate Management System 4.7[1]
- Microsoft Certificate Server 2.0
- RSA Keon 5.7
- UniCERT PKI 3.5.3
Сравнение выбранных продуктов производилось по следующим критериям:
- Архитектура решения:
- Модульность
- Масштабируемость
- Модель доверия
- Функциональность продукта:
- Управление сертификатами
- Управление списками отзыва сертификатов
- Администрирование
- Поддерживаемые криптографические стандарты:
- Международные криптографические стандарты
- Российские стандарты шифрования и ЭЦП
- Функции, выполняемые клиентской частью
- Документация и качество технической поддержки
- Средства разработки
[1] ныне позиционируемый корпорацией Sun как Sun One Certificate Server
Архитектура решения
Модульность
При сравнении по критерию модульность был рассмотрен состав выбранных решений, должный обеспечить полнофункциональную работу инфраструктуры открытых ключей, описанную рабочей группой PKIX (Public Key Infrastructure Working Group).
Таблица 1. Сравнение по критерию модульность
Продукт | Описание серверных модулей |
Entrust PKI | Entrust/Authority – удостоверяющий центр инфраструктуры Entrust/PKI, предназначенный для выпуска и управления сертификатами, создания пары ключей (открытый и закрытый) для шифрования данных, управления базой данных инфраструктуры открытых ключей, назначения политики безопасности для всей организации.Entrust/RA – центр регистрации, предоставляющий графический интерфейс, обеспечивающий единую точку управления всеми компонентами инфраструктуры открытых ключей.Entrust/Authority Database – база данных, хранящая всю информацию о пользователях и инфраструктуре Entrust/Authority.Entrust/Profile Server – сервис, предназначенный для обеспечения безопасной работы пользователей в сети и централизованного хранения профилей удаленных пользователей.Entrust/Timestamp – сервис, обеспечивающий безопасный сервис временной метки, применяющийся для поддержки критичных по времени приложений, а также поддержку неоспоримости транзакций.Entrust/AutoRA – сервис, предназначенный для корпораций с большим количеством сотрудников, обеспечивающий надежный и безопасный способ добавления пользователей в Entrust/PKI без участия администраторовEntrust/WebConnector – сервис, предоставляющий возможность получить сертификат для идентификации Web и почтовых клиентов, Web серверов, приложений, подписывающих объекты и Microsoft Windows VPN (IPSec).Entrust/VPNConnector – сервис, обеспечивающий цифровыми сертификатами Маршрутизаторы, Межсетевые Экраны, устройства обеспечивающие удаленный доступ и гарантирует доступ к вышеперечисленным устройствам только при наличии действительного цифрового сертификата. |
iPlanet CMS | Certificate Manager – удостоверяющий центр, совмещающий выпуск, отзыв, поддержку базы выданных сертификатов и периодическое создание списков отзыва сертификатов. При использовании Certificate Manager в структуре с одним удостоверяющим центром обрабатывает клиентские запросы, а в распределенной структуре PKI принимает их от Registration Manager.Registration Manager- компонент структуры PKI, на который Certificate Manager в распределенной структуре PKI переносит функций по аутентификации и составлению запроса на сертификацию.Data Recovery Manager – сервис хранения и восстановления секретных ключей пользователей.Online Certificate Status Manager- сервис, обеспечивающий проверку состояния сертификата в режиме реального времени. |
Microsoft CS | Инфраструктура открытых ключей Microsoft состоит из 2 уровней, в зависимости от степени интеграции с Active Directory:Уровень предприятия – тесно интегрирован в Active Directory и предназначен для поддержки системы безопасности дерева/леса домена, как-то: шифрованная файловая система, идентификация пользователей домена, система безопасных коммуникации.Уровень предприятия состоит из следующих модулей:Enterprise Root CA – удостоверяющий центр доменной иерархии Windows 2000Enterprise Subordinate CA – модуль выдачи сертификатов компьютерам и пользователям домена Windows 2000Key Management server – сервер хранения/ восстановления ключейУровень автономной организации – предназначен для поддержки инфраструктуры открытых ключей вне доменной системы Windows 2000.Stand-alone Root CA – удостоверяющий центр автономной организации.Stand-alone Subordinate CA – модуль выдачи сертификатов вне структуры домена Windows 2000. |
RSA Keon | RSA Keon CA – удостоверяющий центр, совмещающий выпуск, отзыв сертификатов, поддержку базы выданных сертификатов и периодическое создание списков отзыва сертификатов. RSA Keon CA также способен напрямую обрабатывать клиентские запросы или принимать их от RSA Keon RA.RSA Keon RA – компонент структуры RSA Keon, на который RSA Keon CA в распределенной структуре PKI переносит функций по аутентификации и составлению запроса на сертификацию.RSA Keon Security Server – сервер, осуществляющий аутентификацию и авторизацию пользователя, проверку действительности сертификата, хранение мандатов пользователей и агентов и профилей пользователей, и аутентификацию и аудит.RSA Keon Agents – модули обеспечивающие единократную аутентификации в инфраструктуре RSA Keon, шифрование сессии. |
UniCERT PKI | Unicert PKI состоит из базового «Основного» модуля, который необходим для работы ядра системы. Улучшенный и расширенный модули представляют надстройку над ядром, предоставляющие дополнительные сервисы Инфраструктуры Открытых Ключей.Основной модуль – содержит в себе базовые технологии для развертывания инфраструктуры открытых ключей.Certificate Authority (CA) – Удостоверяющий центр, обеспечивающий управление сертификатами открытых ключей на протяжении всего их жизненного циклаCertificate Authority Operator (CAO) – АРМ Администратора Центра Сертификации, контролирующего все административные функции, как корневого, так и второстепенного СА.Registration Authority (RA) – Центр регистрации, обеспечивающий подтверждение подлинности идентификаторов пользователейRegistration Authority Operator (RAO) – АРМ Администратора Центра Регистрации, обеспечивающий утверждение и отклонение заявок на получение сертификатаGateway – сервис, обеспечивающий прием удаленно представленных запросов на получение сертификата (по электронной почте, для систем VPN или от web-браузеров) и распределение полученных сертификатовToken Manager – сервис, обеспечивающий поддержку криптографических аппаратных устройствУлучшенный модуль – добавляет необходимые модули для обеспечения безопасной работы и удаленного администрирования.WebRAO – сервис, простого и безопасного подтверждение сертификатов с использованием стандартного web-браузера;WebRAO Server – Сервер, подключения операторов к удаленной службе регистрации через Internet.Advanced Registration Module (ARM) – модуль, осуществляющий автоматический интегрированный выпуск большого количества сертификатов, обеспечивающий поддержку централизованных политик безопасности.Key Archive Server (KAS) – Сервер, выполняющий функции архивирования, хранению и восстановления личных ключей шифрования, уменьшает риски потери данных и затраты на их восстановление.Advanced Publishing Module (APM) – модуль, позволяющий использовать Active Directory для хранения сертификатов и списков отзыва сертификатов (CLR)Расширенный модуль — вносит в структуру PKI компоненты сопряжения с другими программными продуктами и решениями.Attribute Certificate Server (ACS) – Сервер, обеспечивающий контроль доступа к ресурсам (их системе безопасности) на основе ролей, повышающий эффективность и гибкость PKI-решений.Timestamp Server (TSS) – Сервер, обеспечивающий услуги по проверке существования документа в конкретный момент времени.Roaming Server – Сервер, позволяющий пользователям подписывать транзакции, используя секретный ключ, без использования аппаратных средств |
Наиболее привлекательно при сравнении по критерию «модульность» выглядят решения Entrust и UniCERT, предоставляющие модули для всех областей использования инфраструктуры открытых ключей. В частности, наличие сервисов временной метки, поддержки «бродячих» пользователей и протокола беспроводных приложений[1], предназначенного для безопасных беспроводных транзакций делает эти решения уникальными в этом пункте сравнений.
Модель доверия
Модель доверия – это основа, на которой строится взаимодействие различных систем PKI.
Существуют две модели доверия. Иерархическая модель – устанавливает единую точку доверия двум или более Центрам Сертификации[2].
Сетевая модель – устанавливает прямые доверительные отношения между двумя или более Центрами Сертификации и основывается на кросс – сертификации, в этой модели, каждый из Центров Сертификации считается подчиненным другого Центра Сертификации.
Основные различия между двумя моделями доверия:
- Методы Построение цепочки сертификатов;
- Методы верификации сертификатов, выданных различными Центрами Сертификации;
Данный критерий отражает возможность решений PKI взаимодействовать между собой без дополнительных затрат, и наиболее критичен для корпораций объединяющих несколько решений PKI в своей инфраструктуре или расширяющих свои подразделения. Предпочтительнее по этим параметрам выглядят продукты Entrust, RSA и UniCert, поддерживающие обе модели, так называемую гибридную модель доверия. MS и iPlanet поддерживают только иерархическую модель доверия
Масштабируемость
Критерий масштабируемость часто очень свободно трактуется производителями тех или иных решений, например, один из производителей охарактеризовал масштабируемость своего решения, следующим образом: — «Огромная масштабируемость (8 миллионов сертификатов)», что скорее характеризует очень среднюю базу данных, нежели само решение PKI. Для снятия противоречий, сформулируем ряд требований по этому параметру сравнения. Итак, масштабируемое решение должно:
- Иметь модульную структуру, обеспечивающую построение полнофункциональной инфраструктуры открытых ключей. (Это параметр мы рассматривали выше в разделе «Модель доверия»);
- Поддерживать различные платформы. Поддерживаемые операционные системы приведены в таблице 2;
Поддерживаемые операционные системы. Таблица 2
Продукт | Операционные системы |
iPlanet CMS 4.7 | Windows 2000, Solaris 7/8, HP-UX 11.0, AIX 4.3.3, Tru64 v4.0D |
Entrust Authority 6.0 | Windows 2000, Solaris 7/8, HP-UX 11.0 |
UniCERT PKI 3.5.3 | Windows 2000, Solaris 7/8, HP-UX 11.0 |
RSA Keon 5.7 | Windows 2000, Solaris 7/8 |
Microsoft CS 2.0 | Windows 2000 |
- Поддерживать открытые криптографические стандарты, для взаимодействия с другими системами;
- Поддерживать Гибридную модель доверия, которая, необходима для построения систем, содержащих в своем составе различные реализации PKI, для снижения расходов на поддержку инфраструктуры в целом. При развертывании в системе корпорации решения одного производителя, данное условие не имеет силы;
- Обеспечивать поддержку построения доверительных отношений с центром сертификации, не входящим в имеющуюся иерархию, в реальном масштабе времени. Данное условие, минимизирует затраты на построение, управление и техническую поддержку инфраструктуры PKI. Только решения Entrust , UniCERT и Microsoft удовлетворяют этому условию:
- Entrust — поддерживающий Протокол Безопасного Обмена между Удостоверяющими Центрами (Secure Exchange Protocol) и индустриальный стандарт по управлению инфраструктурой PKI — PKIX-CMP (Certificate management protocol) определенный в RFC 2510.
- UniCERT — поддерживающий PKIX-CMP.
- Microsoft – поддерживающий нестандартизованный протокол внутри уровня предприятия
- Обеспечивать гибкую систему управления и контроля над инфраструктурой PKI. Не секрет что даже небольшие проблемы в работе Инфраструктуры Открытых Ключей очень дорого обходятся корпорациям, поэтому очень важно в составе решения иметь инструментарий, способный эффективно реагировать как на штатные, так и аварийные ситуации, производить анализ и получать отчеты о состоянии системы.
- Поддерживать инфраструктуру управления привилегиями (PMI). Все более интенсивно используются возможности по применению сертификатов определяющих признаков (Attribute certificates) в корпоративной среде, для передачи информации о пользовательских привилегиях сервисам авторизации. Этот сервис предоставляют решения Entrust , RSA и UniCERT:
- В Entrust — поддерживается центральным компонентом Entrust Authority
- В RSA — Функции Attribute Server выполняет Security Server
- В UniCERT — Поддерживается дополнительным компонентом Attribute Certificate Server
Наиболее привлекательно при сравнении по критерию масштабируемость выглядят решения Entrust и UniCERT. Решение от RSA и iPlanet лишь немного отстают по критериям модульности и поддержки построения доверительных отношений в реальном масштабе времени. Решение iPlanet , как и решение MS, не имеет поддержки инфраструктуры управления привилегиями (PMI). Решение Microsoft можно назвать масштабируемым исключительно в пределах платформы Windows 2000 и напрямую связанной со структурой домена.
[1] (Wireless Application Protocol) протокола беспроводных приложений, предназначенного для безопасных беспроводных транзакций. (Позволяет пользователям получать содержимое Интернет сайтов, и приложений (например, почтовых) на WAP устройствах, таких как мобильные телефоны)
[2] Яркий пример использования иерархической модели — браузер
Функциональность решения
Управление сертификатами
Использование криптографических пар ключей
Условие использования криптографических пар ключей (используемые в шифровании открытым ключом общедоступный ключ и личный ключ) в решениях PKI характеризует подход поставщика решений к разделению данных. Строгое разделение данных корпораций и средств идентификации пользователя, а следовательно ключей шифрования и личных ключей пользователя, позволяет восстанавливать данные на уровне организаций и передать функций управления личными ключами и сертификатами пользователю.
Из рассматриваемых решений лишь Entrust, iPlanet и RSA поддерживают раздельные пары ключей для шифрования и подписи.
Выпуск, отзыв и приостановление действия сертификатов
Возможность предоставления более гибких подходов к управлению сертификатами наиболее соответствует нуждам корпорации, и в этом наиболее преуспели решения Entrust и UniCERT.
Entrust предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов:
- Создание пользовательских записей и профилей администратором;
- Удаление или приостановление действия сертификатов администратором;
- Добавление, существующих в сервисе директорий, учетных записей пользователей в инфраструктуру Entrust/PKI
- Выпуск сертификатов посредством Web и e-mail
- Отзыв сертификатов посредством Web (AutoRA challenge-response pages)
UniCERT предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов:
- Выпуск сертификатов выполняется оператором центра регистрации на основе политик, заданных оператором центра сертификации, после идентификации личности клиента;
- Удаление или приостановление действия сертификатов выполняется оператором центра сертификации;
- Выпуск сертификатов посредством Web, e-mail и VPN;
- Отзыв сертификатов посредством Web и e-mail.
Решения iPlanet, Microsoft и RSA предоставляют возможность получения сертификатов лишь с помощью web интерфейса, хотя следует отметить, что Microsoft CS на уровне предприятия – может выпускать сертификаты автоматически (auto-enrollment). Удаление или приостановление действия сертификатов в решениях iPlanet и RSA осуществляется при помощи Web или администратором. Microsoft предлагает удалять сертификаты лишь используя административную консоль.
Публикация сертификатов
При сравнении методов публикации Сертификатов возникает Абсолютно равная ситуация, все продукты поддерживают публикацию в Сервисы Каталогов и Active Diretory по протоколу LDAP, продукты UniCERT и Entrust так же поддерживают DAP.
Управление списками отзыва
Пользователи Инфраструктуры Открытых Ключей, должны быть уверены, что сертификаты достоверны на момент их использования.
Для проверки статуса сертификата могут использоваться следующие средства:
- Списки отзыва сертификатов;
- Измененные списки отзыва сертификатов;
- Определение статуса сертификата в реальном времени.
Списки отзыва сертификатов
В случае компрометации сертификата или криптографических ключей, сертификат должен быть немедленно отозван Центром Сертификации и внесен в список отзыва сертификатов, доступный для всех пользователей инфраструктуры открытых ключей. В расширениях сертификатов, так называемых Точках распространения Списков Отзыва Сертификатов (CDP), находится унифицированный указатель информационного ресурса (стандартизованная строка символов, указывающая местонахождение документа в сети Internet) с информацией о месте расположения списков отзыва. На основании этой информации клиент сможет получать актуальные Списки Отзыва Сертификатов. Поддерживаемый указатель информационного ресурса может быть ассоциирован с LDAP, HTTP, FTP или Х.500 ресурсом.
При сравнении по возможностям публикации CRL складывается почти равная ситуация, списки отзыва сертификатов во всех продуктах, за исключением MS, публикуются вручную или периодически в файловую систему (HTTP и FTP), Active Directory или Сервис Директорий при помощи LDAP, в продукте MS возможна только периодическая публикация.
Измененные списки отзыва сертификатов (Delta CRL)
Измененный список отзыва сертификатов (Delta CRL) – список, содержащий только сертификаты с измененным статусом, актуальный с момента создания полного (базового) Списка отзыва сертификатов.
Delta CRL обладает следующими преимуществами, по сравнению с используемыми CRL:
- Гораздо меньший объем, нежели у базового Списка отзыва сертификатов
- Более частая публикация и маленькая задержка обновления статуса отзыва у клиента
- Минимальная нагрузка на сеть
Измененные списки отзыва сертификатов поддерживают решения Entrust и Microsoft
Протокол определения статуса сертификата в реальном времени (OCSP)
OCSP (online certificate status protocol) основан на использовании службы сетевых каталогов, которая предоставляет информацию о статусе сертификата в режиме реального времени. В этом случае сертификаты, выданные Центром сертификации, считаются недействительными до тех пор, пока информация об их статусе не будет выбрана из каталога, поддерживаемого центром сертификации. Расширения сертификатов содержат значение, представляющее месторасположение сервиса OCSP.
Только один продукт предоставляет собственный полноценный сервис определения статуса сертификата в реальном времени – iPlanet. Решение RSA ограничилось сервисом OCSP (в терминах RSA — OCSP Responder), поддерживающим только http запросы. Остальные продукты используют надстройку в виде программного продукта ValiCert Global VA Service, обеспечивающего сервис OCSP.
При сравнении по критерию Управление сертификатами и списком отзыва сертификатов решения показали достаточно равные результаты, следует лишь отметить широкие возможности по выпуску сертификатов решений Entrust и UniCERT, а также сервер OCSP, входящий в поставку iPlanet
Управление Инфраструктурой Открытых Ключей
Средства управления PKI
Средства управления PKI – это основной инструмент общения системы и администратора. От того, насколько этот инструмент универсален и удобен зависит подчас работоспособность всей системы.
Управление и мониторинг инфраструктурой осуществляется в решениях следующим образом:
Entrust
- С административной консоли Entrust/RA
- С командной строки
- Возможно выполнение некоторых административных операций при помощи AutoRA (с использованием challenge-response pages)
- Web/VPN/WAPConnector – семейство модулей, обеспечивающих возможность выпуска сертификатов для Web обозревателей, Web серверов,VPN и WAP устройств.
iPlanet CMS
- С административной Java консоли
- С командной строки
- через web-интерфейс.
Microsoft CS
- стандартная консоль управления (mmc), расширенной необходимыми вставками (Snap-in).
RSA Keon
- через web-интерфейс
UniCERT PKI
- с помощью модулей CAO и RAO, каждый из которых предназначен для управления и мониторинга вышестоящего модуля, как CA и RA. (Присутствует уникальный редактор инфраструктуры Policy Editor.)
- управление центром регистрации через Web при помощи дополнительного модуля WebRAO.
Из рассматриваемой группы продуктов, стоит выделить: Entrust, UniCERT и iPlanet предоставившие мощные и всеохватывающие способы управления и контроля за системой
Назначение ролей администрирования
В соответствии с требованиями Профиля защиты PKI, в управлении инфраструктурой ОК необходимо разделять роли администратора системы, администратора политик безопасности, аудитора и конечного пользователя. Во всех решениях, за исключением Microsoft существует жесткое разделение функций по управлению инфраструктурой. В реализации Microsoft только администратор имеет право управлять PKI (По пресс-релизам Microsoft в Windows.NET уже устранена эта проблема).
Резервное хранение пар ключей
Возможность восстановить зашифрованные данные естественная необходимость корпорации по обеспечению безопасности своих данных. По этому параметру все решения показали себя одинаково хорошо, различалась лишь реализация, в частности:
- В идеологии Entrust изначально заложено резервирование пар ключей, предназначенных для шифрования
- iPlanet – использует Data Recovery Manager
- Microsoft CS — Дополнительный модуль Key Management Server, входящий в комплект MS Exchange 2000.
- RSA Keon — Для хранения ключей используется Security Server
- UniCERT PKI -Дополнительный модуль KAS, использующий Oracle, как базу данных
Управление Политиками
Политики – назначаемые правила, которые проверяют достоверность содержимого запросов на сертификацию и определяют содержимое выдаваемого сертификата. Политики также определяют правила приема, отклонения, переноса запросов и обновления ранее выданных сертификатов.
Гибкость и возможность изменения существующих политик – основные требования, предъявляемые к политикам на корпоративном уровне. Все продукты, за исключением MS предоставляют данную возможность. Реализация MS не позволяет изменять существующие политики (В доступной бета версии Windows.NET уже устранена эта проблема).
Хранение параметров и настроек PKI
При проектировании и построении Инфраструктуры Открытых Ключей следует принимать во внимание особенности реализации хранения параметров и настроек PKI, так же в соответствии с профилем защиты PKI необходимо предотвратить доступ неавторизированных пользователей к конфигурационной информации PKI.
Всю необходимую для функционирования информацию Entrust/PKI хранит в зашифрованной базе данных Informix/Oracle, используя при этом систему безопасности сервера базы данных.
Решения iPlanet и RSA Keon используют собственную базу данных
Microsoft — Active Directory
Всю необходимую для функционирования информацию UniCERT хранит в базе данных Oracle, используя при этом систему безопасности сервера базы данных.
При сравнении по этому параметру мы наблюдаем достаточно ровную ситуацию по всем продуктам, следует лишь отметить шифрование базы данных у Entrust и RSA
Средства аудита и предоставления отчетов
Средства аудита и составления отчетов — неотъемлемая часть инфраструктуры любой информационной системы и тем более, такой сложной и разветвленной как PKI.
При сравнении по этому критерию следует выделить три решения Entrust, UniCERT и RSA обеспечивающие полнофункциональные средства аудита и средств создания отчетов. iPalnet и MS не имеют собственных средств создания отчетов. Все из представленных продуктов имеют возможность перенаправлять поток событий в журналы событий операционных систем, на которых они работают, что дает возможность осуществлять контроль над состоянием системы и защитить их от несанкционированного доступа.
В целом при сравнении по критерию Управление Инфраструктурой следует отметить два решения Entrust и UniCERT обладающих удобными и разнообразными средствами управления, аудита и предоставления отчетов.
Поддерживаемые криптографические стандарты
Нет никакого смысла описывать необходимость для решений PKI придерживаться международных и Российских криптографических стандартов, в этом пункте сравнения ограничимся лишь перечислением поддерживаемых стандартов.
Поддерживаемые криптографические стандарты открытых ключей (PKCS) и Защищенные многоцелевые расширения почты Internet (S/MIME)
Стандарт | Описание | Entrust | iPlanet | Microsoft | RSA |
PKCS#1 | Создание сертификата, контроль и внутренний обмен сообщениями | да | да | да | да |
PKCS#5 | Шифрования для хранилищ секретных ключей | да | да | да | да |
PKCS#7 | Синтаксис шифрованных сообщений, внутренний обмен сообщениями | да | да | да | да |
PKCS#10 | Синтаксис запроса на сертификацию публичного ключа | да | да | да | да |
PKCS#11 | Взаимодействие с внешними криптографическими модулями | да | да | нет | да |
PKCS#12 | Хранилище для секретных ключей и сертификатов | да | да | да | да |
S/MIME | Защищенные многоцелевые расширения почты Internet | да | да | да | да |
Поддерживаемые Алгоритмы Шифрования
Симметричные
Продукт | CAST | DES | 3-DES | RC2 | RC4 | RC5 | IDEA | ГОСТ-28147-89 |
Entrust PKI | Да | да | да | да | нет | нет | да | нет |
iPlanet CMS | Нет | да | да | да | да | нет | нет | нет |
Microsoft CS | Нет | да | да | да | да | да | нет | да |
RSA Keon | Нет | да | да | да | да | нет | нет | да |
UniCERT PKI | Нет | да | да | да | да | нет | да | нет |
Асимметричные
Продукт | RSA | DSA | ECDSA | ГОСТ-34.10-94 |
Entrust PKI | Да | да | да | нет |
iPlanet CMS | Да | да | нет | нет |
Microsoft CS | Да | да | нет | да |
RSA Keon | Да | да | да | да |
UniCERT PKI | Да | да | да | нет |
Хеширование
Продукт | MD5 | SHA-1 | ГОСТ-34.11-94 |
Entrust PKI | да | да | нет |
iPlanet CMS | да | да | нет |
Microsoft CS | да | да | да |
RSA Keon | да | да | да |
UniCERT PKI | да | да | нет |
Функции, выполняемые клиентской частью
Настольные клиенты обеспечивают комплексный подход к вопросу безопасности приложений, включая:
- Идентификацию пользователя
- Конфиденциальность работы пользователя
- Однократную аутентификацию при доступе к информационным ресурсам
- Управление ключами и сертификатами
- Проверка достоверности сертификата
- И как дополнительный параметр Защиту от НСД
Продукт | Клиентская часть |
Entrust PKI | Entrust/EntelligenceСоздание пары криптографической пары для цифровой подписи;Запрос на получение и управление сертификатами для раздельной или общей пары ключей для шифрования и электронной цифровой подписи;Автоматическое обновление ключей и сертификатов;Шифрование, электронная цифровая подпись, временная метка файловПоддержка операций с Roaming Server;Поддержка SSO для всех Entrust-Ready приложений;Поддержка CryptoAPI. |
iPlanet CMS | iPlanet Personal Security Manager предоставляет следующие функции:Запрос на получение и управление сертификатами для раздельной или общей пары ключей для шифрования и подписи;Резервирование сертификатов, секретных ключей;Автоматическое сохранение криптографической пары ключей шифрования;Автоматическая проверка статуса отзыва при проверке сертификата. |
Microsoft CS | OC Windows |
RSA Keon | RSA Keon DesktopВход в систему Keon Security ServerШифрование файлов и каталоговЕдинократня аутентификация в приложениях, имеющих агентов КеоnХранение копий криптографических пар ключейАвтоматическое обновление ключей и сертификатов |
UniCERT PKI | Desktop Key ManagerЗапрос и управление сертификатами и ключамиАвтоматическое обновление ключей и сертификатовРасширение функций IE и Outlook для взаимодействия с Инфраструктурой Открытых Ключей |
Документация и техническая поддержка
Все из представленных решений обладают уровнем поддержки соответствующий самым требовательным заказчикам, а именно, поставщики решений предоставляют доступ до своих информационных центров: Knowledge Base, Online Support Center и поддерживаемых конференции. Доступ до службы технической поддержки (HelpDesk) может быть осуществлен в любой из заказанных форм 8х5 или 24х7. Так же доступны порталы по загрузке обновлений.
В Российской Федерации осуществляется техническая поддержка всех представленных решений, через сертифицированные центры или партнеров рассматриваемых решений.
Средства разработки
Средства разработки необходимы корпоративным заказчикам для адоптации и расширения функций PKI к имеющейся инфраструктуре предприятия и поддержки разработок ПО использующего инфраструктуру открытых ключей.
Так как подробное рассмотрение свойств инструментов и средств разработки это тема отдельного, большого сравнения и не входит в цели данного сравнения, оценка будет производиться по функциональным особенностям и количеству поддерживаемых языков программирования.
Продукт | Инструменты |
Entrust PKI | Administration Toolkit for C – предоставляет API (application programming interfaces) для разработки заказных модулей регистрации и администрирования.IPSec Toolkit for C – предоставляет API для применения протокола IKE (Internet Key Exchange) в решениях VPN.GSS-API Toolkit for C — предоставляет GSS-API (Generic Security Service-Applications Programming Interface) для разработки взаимодействия приложений в реальном масштабе времени, которые расширяют возможности Entrust Authority™ по защите клиент/серверных приложений.Security Toolkit for Java – предоставляет возможность построения приложений с гибкими, модульными сервисами безопасности для шифрования/дешифрования, управления электронной цифровой подписью и сертификатами.PKCS#7 Toolkit for C/C++ — предоставляет API для разработки приложений S/MIME и Privacy Enhanced Mail (PEM).Security Toolkit for Visual Basic – предоставляет возможности для построения PKIX, PKCS#7, PKCS#12 и Entrust Ready приложений. Данный Toolkit поддерживает функции хеширования, шифрование и работу с сертификатами.SSL/TLS Toolkit for C++ — предоставляет возможности построения приложений, обеспечивающих безопасность e-business транзакций. |
iPlanet CMS | CMS Software Development Kit (SDK) – поставляется вместе с CMS, позволяет разрабатывать новые plug-in модули и модифицировать Certificate Management System. |
Microsoft CS | Предлагается SDK и DDK. Так же заявлена поддержка в Microsoft .NET Framework SDK |
RSA Keon | RSA Keon предоставляет следующие программные средства для создания приложений взаимодействующих с Инфраструктурой Открытых КлючейRSA BSAFE Crypto – C/JavaRSA BSAFE SSL – C/JavaRSA BSAFE Cert – C/JavaRSA Keon Agent SDKRSA Desktop SDKRSA CA API |
UniCERT PKI | Предлагается пакет разработчика — Key Tools Pro для языков C++ и Java. В этом пакете, разбитом на три уровня предлагаются следующие технологии/модули:Модуль нижнего уровня:Криптографический модульОсновной Модуль:Cryptographic and digital certificate support,Certificate request and retrieval from a CA,LDAP directory supportCertificate CRL revocation checking.Central policy control,Smartcard support,Additional Certificate Authority transporters,OCSPCRL distribution point support etc.Модуль оснасток:S/MIME, WireLess, XML, SSL |
Наиболее широкие возможности для разработчиков предоставляют Entrust и MS, имеющие в своем составе инструменты для языков C/C++/Java/VisualBasic и широкий набор функций для построения взаимодействия как с Инфраструктурой Открытых Ключей в целом, так и с бизнес приложениями.
Выводы
В помощь для позиционирования продуктов на том или ином рынке приведем следующую таблицу:
Продукт | Оценочные выводы |
Entrust PKI | Данный продукт рекомендуется для использования в секторах корпорации и средних компаний, в силу своей масштабируемости, поддержки гетерогенных сред, поддержки гибридной модели доверия, разделения функций шифрования и цифровой подписи, поддержки SSO, интеграции в большинство коммерческих приложений, поддержки открытых стандартов и присутствия персонального менеджера ключей и сертификатов, сочетающего в себе функции защиты от НСД.Из обнаруженных недостатков следует отметить отсутствие коробочного решения по отзыву и приостановлении действия сертификатов, наличие клиента только под Windows и отсутствие поддержки Российских стандартов. |
iPlanet CMS | Данный продукт рекомендуется для использования в секторах средних, мелких компаний, ISP и web проектов в силу своей масштабируемости, поддержки гетерогенных сред, возможности разделения функций шифрования и цифровой подписи, использования уникальной технологии Cloned CA, наличия собственного OCSP сервера, поддержки открытых стандартов и присутствия персонального менеджера ключей и сертификатов.Из обнаруженных недостатков следует отметить слабую поддержку SSO, отсутствие поддержки PKIX-CMP, отсутствие поддержки Российских стандартов, отсутствие коробочных продуктов поддержки ERP и баз данных, что не позволяет позиционировать этот продукт для корпоративных клиентов, критичных к этим недостаткам. |
Microsoft CS | Данный продукт рекомендуется для использования в секторах корпоративных, средних, мелких компаний и web проектов развернутых на IIS, но с условиями, что информационная политика организации ориентированна только на корпорацию Microsoft и имеет ограниченное количество систем и приложений без логотипа “Microsoft compatible” (как правило, это продукты Microsoft), а также имеет развернутую Active Directory и операционные системы Windows NT/2000/ХР.Из недостатков следует отметить поддержку только иерархической модели доверия, использование собственных стандартов и отсутствие возможности изменять политики (по пресс-релизам Microsoft версия Windows.NET предоставит эту возможность). |
RSA Keon | Данный продукт рекомендуется для использования в секторах корпоративных, средних и малых компаний, в силу, в силу своей приемлемой масштабируемости, поддержки гетерогенных сред, возможности разделения функций шифрования и цифровой подписи, поддержки гибридной модели доверия, поддержки SSO, интеграции в большинство коммерческих приложений, поддержки открытых и Российских стандартов и присутствия персонального менеджера ключей и сертификатов, сочетающего в себе функции защиты от НСД.Из обнаруженных недостатков следует отметить отсутствие в клиенте возможности отзыва и приостановления действия сертификатов и наличие клиента только под Windows |
UniCERT PKI | Данный продукт рекомендуется для использования в секторах средних, малых компаний, ISP и web проектов в силу своей масштабируемости, модульности, поддержки гетерогенных сред, использования гибридной модели доверия, поддержки открытых стандартов.Из обнаруженных недостатков следует отметить слабую поддержку SSO, отсутствие поддержки Российских стандартов, отсутствие коробочных продуктов поддержки ERP и баз данных, что не позволяет позиционировать этот продукт для корпоративных клиентов, критичных к этим недостаткам. |
Хочется отметить, что данное сравнение производилось для гипотетической корпорации, и не факт, что для внедрения инфраструктуры открытых ключей в Вашу организацию подойдут решения, позиционированные нами для Вашего сегмента или решения только одного производителя, каждый случай сугубо индивидуален и нуждается в детальном проектировании.
Для наглядного представления результатов сравнения, приведем диаграмму, в которой сгруппируем все результаты по каждому из ранее рассмотренных критериев. Оценка будет производиться по привычной пятибальной системе, где оценке
- Отлично – соответствуют 5 делений оценочной диаграммы;
- Хорошо – 4;
- Удовлетворительно -3.
Борис Рудаков