Сравнительный анализ корпоративных решений PKI

С целью предотвращения негативных последствий от попыток выбора решения под воздействием рекламных материалов или цены продукта и была написана эта статья, в которой производится сравнение ведущих решений по созданию PKI, и делается попытка позиционировать эти решения на тот или иной сегмент рынка.

Введение

Существует широкий круг задач по обеспечению достоверности, безопасности и целостности информации, внутри информационной структуры Вашей организации, решение которых средствами, отличными от Инфраструктуры Открытых Ключей (PKI), приведет к неоправданным финансовым тратам и в то же  время несоразмерно усложнит имеющуюся информационную структуру. Наиболее актуальные задачи, решаемые внедрением PKI, включают в себя:

• Обеспечение достоверности, безопасности и целостности транзакций, электронных документов или почтовых сообщений;
• Строгая аутентификация пользователей и программных сервисов;
• Строгая аутентификация аппаратных устройств;
• Ведение электронной коммерции;
• Защищенная электронная почта;
• Контроль происхождения транзакции, документа или почтового сообщения;
• Установление достоверного времени создания документа/ транзакции.

В случае, когда необходимость внедрения PKI в информационную структуру Вашей организации – уже объективная реальность, перед Вами встает нелегкая  задача выбора конкретной реализации PKI. Выбор реализации будет во многом определять как возможность интеграции с существующей структурой, так и всю будущую информационную инфраструктуру организации, основой которой должна стать внедряемая PKI.

С целью предотвращения негативных последствий от попыток выбора решения под воздействием рекламных материалов или цены продукта и была написана эта статья, в которой производится сравнение ведущих решений по созданию PKI, и делается попытка позиционировать эти решения на тот или иной сегмент рынка.

Для проведения сравнения были выбраны решения удовлетворяющие основным требованиям, предъявляемым к корпоративным продуктам:

• Поддержка большого количества пользователей
• Высокая производительность и надежность решения
• Масштабируемая, гетерогенная и легко расширяемая архитектура
• Поддержка открытых стандартов
• Поддержка или намерение о поддержке Российских стандартов шифрования и электронной цифровой подписи
• Разделение ключей шифрования и электронной цифровой подписи
• Разделение ролей администратора системы, администратора безопасности, аудиторов и конечных пользователей (в соответствии с профилем защиты)
• Гибкая и стандартизированная система управления, аудита и генерации отчетов
• Наличие персонального менеджера сертификатов (клиентской части)
• Поддержка системы единократной аутентификации
• Возможность интеграции в системы ERP, базы данных и средств защиты
• Корпоративный уровень технической поддержки продукта

Из решений, представленных на мировом рынке PKI, наиболее полно соответствуют вышеприведенным параметрам  следующие продукты:

• Entrust Authority 6.0
• iPlanet Certificate Management System 4.7[1]
• Microsoft Certificate Server 2.0
• RSA Keon 5.7
• UniCERT PKI 3.5.3

Сравнение выбранных продуктов производилось по следующим критериям:

• Архитектура решения:
  • Модульность
  • Масштабируемость
  • Модель доверия
• Функциональность продукта:
  • Управление сертификатами
  • Управление списками отзыва сертификатов
  •  Администрирование
• Поддерживаемые криптографические стандарты:
  • Международные криптографические стандарты
  • Российские стандарты шифрования и ЭЦП
• Функции, выполняемые клиентской частью
• Документация и качество технической поддержки
• Средства разработки

[1] ныне позиционируемый корпорацией Sun как Sun One Certificate Server

Архитектура решения

Модульность

При сравнении по критерию модульность был рассмотрен состав выбранных решений, должный обеспечить полнофункциональную работу инфраструктуры открытых ключей, описанную рабочей группой PKIX (Public Key Infrastructure Working Group).

Таблица 1. Сравнение по критерию модульность

Наиболее привлекательно при сравнении по критерию «модульность» выглядят решения Entrust и UniCERT, предоставляющие модули для всех областей использования инфраструктуры открытых ключей. В частности, наличие сервисов временной метки, поддержки «бродячих» пользователей и протокола беспроводных приложений[1], предназначенного для безопасных беспроводных транзакций делает эти решения уникальными в этом пункте сравнений.

Модель доверия

Модель доверия – это основа, на которой строится взаимодействие различных систем PKI.

Существуют две модели доверия. Иерархическая модель – устанавливает единую точку доверия двум или более Центрам Сертификации[2].

Сетевая модель – устанавливает прямые доверительные отношения между двумя или более Центрами Сертификации и основывается на кросс – сертификации, в этой модели, каждый из Центров Сертификации считается подчиненным другого Центра Сертификации.

Основные различия между двумя моделями доверия:

• Методы Построение цепочки сертификатов;
• Методы верификации сертификатов, выданных различными Центрами Сертификации;

Данный критерий отражает возможность решений PKI взаимодействовать между собой без дополнительных затрат, и наиболее  критичен для корпораций объединяющих несколько решений PKI в своей инфраструктуре или расширяющих свои подразделения. Предпочтительнее по этим параметрам выглядят продукты Entrust, RSA и UniCert, поддерживающие обе модели, так называемую гибридную модель доверия. MS и iPlanet поддерживают только иерархическую модель доверия

Масштабируемость

Критерий масштабируемость часто очень свободно трактуется производителями тех или иных решений, например, один из производителей охарактеризовал масштабируемость своего решения, следующим образом: – «Огромная масштабируемость (8 миллионов сертификатов)», что скорее характеризует очень среднюю базу данных, нежели само решение PKI. Для снятия противоречий, сформулируем ряд требований по этому параметру сравнения. Итак, масштабируемое решение должно:

• Иметь модульную структуру, обеспечивающую построение полнофункциональной инфраструктуры открытых ключей. (Это параметр мы рассматривали выше в разделе «Модель доверия»);
• Поддерживать различные платформы. Поддерживаемые операционные системы приведены в таблице 2;

Поддерживаемые операционные системы. Таблица 2

• Поддерживать открытые криптографические стандарты, для взаимодействия с другими системами;
• Поддерживать Гибридную модель доверия, которая, необходима для построения систем, содержащих в своем составе различные реализации PKI, для снижения расходов на поддержку  инфраструктуры в целом. При развертывании в системе корпорации решения одного производителя, данное условие не имеет силы;
• Обеспечивать поддержку построения доверительных отношений с  центром сертификации, не входящим в имеющуюся иерархию,  в реальном масштабе времени. Данное условие, минимизирует затраты на построение, управление и техническую поддержку инфраструктуры PKI. Только решения  Entrust , UniCERT и Microsoft удовлетворяют этому условию:
  • Entrust – поддерживающий Протокол Безопасного Обмена между Удостоверяющими Центрами (Secure Exchange Protocol) и индустриальный стандарт по управлению инфраструктурой PKI – PKIX-CMP (Certificate management protocol) определенный в RFC 2510.
  • UniCERT – поддерживающий PKIX-CMP.
  • Microsoft – поддерживающий нестандартизованный протокол внутри уровня предприятия  
• Обеспечивать гибкую систему управления и контроля над инфраструктурой PKI. Не секрет что даже небольшие проблемы в работе Инфраструктуры Открытых Ключей очень дорого обходятся корпорациям, поэтому очень важно в составе решения иметь инструментарий, способный эффективно реагировать как на штатные, так и аварийные ситуации, производить анализ и получать отчеты о состоянии системы.
• Поддерживать инфраструктуру управления привилегиями  (PMI). Все более интенсивно используются возможности по применению сертификатов определяющих признаков (Attribute certificates) в корпоративной среде, для передачи информации о пользовательских привилегиях сервисам авторизации. Этот  сервис предоставляют решения  Entrust , RSA и UniCERT:
  • В Entrust – поддерживается центральным компонентом Entrust Authority
  • В RSA – Функции Attribute Server выполняет Security Server
  • В UniCERT – Поддерживается дополнительным компонентом Attribute Certificate Server 

Наиболее привлекательно при сравнении по критерию масштабируемость выглядят решения Entrust и UniCERT. Решение от RSA и iPlanet лишь немного отстают по критериям модульности и поддержки построения доверительных отношений в реальном масштабе времени. Решение iPlanet , как и решение MS, не имеет поддержки инфраструктуры управления привилегиями (PMI). Решение Microsoft можно назвать масштабируемым исключительно в пределах платформы Windows 2000 и напрямую связанной  со структурой домена.

[1] (Wireless Application Protocol)  протокола беспроводных приложений, предназначенного для безопасных беспроводных транзакций. (Позволяет пользователям получать содержимое Интернет сайтов, и приложений (например, почтовых) на  WAP устройствах, таких как мобильные телефоны)

 [2] Яркий пример использования иерархической модели – браузер

Функциональность решения

Управление сертификатами

Использование криптографических пар ключей

Условие использования криптографических пар ключей (используемые в шифровании открытым ключом общедоступный ключ и личный ключ)  в решениях PKI характеризует подход поставщика решений к разделению данных. Строгое разделение данных корпораций и средств идентификации пользователя, а следовательно ключей шифрования и личных ключей пользователя, позволяет восстанавливать данные на уровне организаций и передать функций управления личными ключами и сертификатами пользователю.

Из рассматриваемых решений лишь Entrust, iPlanet и RSA поддерживают раздельные пары ключей для шифрования и подписи.

Выпуск, отзыв и приостановление действия  сертификатов

Возможность предоставления более гибких подходов к управлению сертификатами наиболее соответствует  нуждам корпорации, и в этом наиболее преуспели решения Entrust и UniCERT.

Entrust предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов:

• Создание пользовательских записей и профилей администратором;
• Удаление или  приостановление действия сертификатов администратором;
• Добавление, существующих в сервисе директорий, учетных записей пользователей в инфраструктуру Entrust/PKI
• Выпуск сертификатов посредством Web и e-mail
• Отзыв сертификатов посредством Web (AutoRA challenge-response pages)

UniCERT предоставляет следующие функции по выпуску, отзыву и приостановлению действия сертификатов:

• Выпуск сертификатов выполняется оператором центра регистрации на основе политик, заданных оператором центра сертификации, после идентификации личности клиента;
• Удаление или  приостановление действия сертификатов выполняется оператором центра сертификации;
• Выпуск сертификатов посредством Web, e-mail и VPN;
• Отзыв сертификатов посредством Web и e-mail.

Решения  iPlanet, Microsoft и RSA предоставляют возможность получения сертификатов лишь с помощью web интерфейса, хотя следует отметить, что Microsoft CS на  уровне предприятия – может выпускать сертификаты автоматически (auto-enrollment). Удаление или  приостановление действия сертификатов в решениях iPlanet и RSA осуществляется при помощи Web или администратором. Microsoft предлагает удалять сертификаты лишь используя административную консоль.

Публикация сертификатов

При сравнении методов публикации Сертификатов возникает Абсолютно равная ситуация, все продукты поддерживают публикацию в Сервисы Каталогов и Active Diretory по протоколу LDAP, продукты UniCERT и Entrust так же поддерживают DAP.

Управление списками отзыва

Пользователи Инфраструктуры Открытых Ключей,  должны быть уверены, что сертификаты достоверны на момент их использования.

Для проверки статуса сертификата могут использоваться следующие средства:

• Списки отзыва сертификатов;
• Измененные списки отзыва сертификатов;
• Определение  статуса сертификата в реальном времени.

Списки отзыва сертификатов

В случае компрометации сертификата или криптографических ключей, сертификат должен быть немедленно отозван Центром Сертификации и внесен в список отзыва сертификатов, доступный для всех пользователей инфраструктуры открытых ключей. В расширениях сертификатов, так называемых Точках распространения Списков Отзыва Сертификатов (CDP), находится унифицированный указатель информационного ресурса (стандартизованная строка символов, указывающая местонахождение документа в сети Internet) с информацией о месте расположения списков отзыва. На основании этой информации клиент сможет получать актуальные Списки Отзыва Сертификатов. Поддерживаемый указатель информационного ресурса может быть ассоциирован с LDAP, HTTP, FTP или Х.500 ресурсом.

При сравнении по возможностям публикации CRL складывается почти равная ситуация, списки отзыва сертификатов во всех продуктах, за исключением MS, публикуются вручную или периодически в файловую систему (HTTP и FTP), Active Directory или Сервис Директорий при помощи LDAP, в продукте MS возможна только периодическая публикация.

Измененные списки отзыва сертификатов (Delta CRL)

Измененный список отзыва сертификатов (Delta CRL) – список, содержащий только сертификаты с измененным статусом, актуальный с момента создания полного (базового) Списка отзыва сертификатов.

Delta CRL обладает следующими преимуществами, по сравнению с используемыми CRL:

• Гораздо меньший объем, нежели у базового Списка отзыва сертификатов
• Более частая публикация  и маленькая задержка обновления статуса отзыва у клиента
• Минимальная нагрузка на сеть

Измененные списки отзыва сертификатов поддерживают решения  Entrust и Microsoft

Протокол определения  статуса сертификата в реальном времени (OCSP)

OCSP (online certificate status protocol) основан на использовании службы сетевых каталогов, которая предоставляет информацию о статусе сертификата в режиме реального времени. В этом случае сертификаты, выданные Центром сертификации, считаются недействительными до тех пор, пока информация об их статусе не будет выбрана из каталога, поддерживаемого центром сертификации. Расширения сертификатов содержат значение, представляющее месторасположение сервиса OCSP.

Только один продукт предоставляет собственный полноценный сервис определения  статуса сертификата в реальном времени – iPlanet. Решение RSA ограничилось сервисом OCSP (в терминах RSA – OCSP Responder), поддерживающим только  http запросы. Остальные продукты используют надстройку в виде программного продукта ValiCert Global VA Service, обеспечивающего сервис OCSP.

При сравнении по критерию Управление сертификатами и списком отзыва сертификатов решения показали достаточно равные результаты, следует лишь отметить широкие возможности по выпуску сертификатов решений Entrust и UniCERT, а также  сервер  OCSP, входящий в поставку iPlanet

Управление Инфраструктурой Открытых Ключей

Средства управления PKI

Средства управления PKI – это основной инструмент общения системы и администратора. От того, насколько этот инструмент универсален и удобен зависит подчас работоспособность всей системы.

Управление и мониторинг инфраструктурой осуществляется в решениях следующим образом:

Entrust

• С административной консоли Entrust/RA
• С командной строки
• Возможно выполнение некоторых административных операций при помощи AutoRA (с использованием challenge-response pages)
• Web/VPN/WAPConnector – семейство модулей, обеспечивающих возможность выпуска сертификатов для  Web обозревателей, Web серверов,VPN и WAP устройств.

iPlanet CMS

• С административной Java консоли
• С командной строки
• через web-интерфейс.

Microsoft CS

• стандартная консоль управления (mmc), расширенной необходимыми вставками (Snap-in).

RSA Keon

• через web-интерфейс

UniCERT PKI

• с помощью модулей CAO и RAO, каждый из которых предназначен для управления и мониторинга вышестоящего модуля, как CA и RA. (Присутствует уникальный редактор инфраструктуры Policy Editor.)
• управление центром регистрации через Web при помощи дополнительного модуля WebRAO.

Из рассматриваемой группы продуктов, стоит выделить: Entrust, UniCERT и iPlanet предоставившие мощные и всеохватывающие способы управления и контроля за системой

Назначение ролей администрирования

В соответствии с требованиями Профиля защиты PKI, в управлении инфраструктурой ОК необходимо разделять роли администратора системы, администратора политик безопасности, аудитора и конечного пользователя.  Во всех решениях, за исключением Microsoft существует жесткое разделение функций по управлению инфраструктурой. В реализации Microsoft только администратор имеет право управлять PKI (По пресс-релизам Microsoft в Windows.NET уже устранена эта проблема).

Резервное хранение пар ключей

Возможность восстановить зашифрованные данные естественная необходимость корпорации по обеспечению безопасности своих данных. По этому параметру все решения показали себя одинаково хорошо, различалась лишь реализация, в частности:

• В идеологии Entrust изначально заложено резервирование пар ключей, предназначенных для шифрования
• iPlanet – использует Data Recovery Manager
• Microsoft CS – Дополнительный модуль Key Management Server, входящий в комплект MS Exchange 2000.
• RSA Keon – Для хранения ключей используется Security Server
• UniCERT PKI -Дополнительный модуль KAS, использующий Oracle, как базу данных

Управление Политиками

Политики – назначаемые правила,  которые проверяют достоверность содержимого запросов на сертификацию и определяют содержимое выдаваемого сертификата. Политики также определяют правила приема, отклонения, переноса запросов и обновления ранее выданных сертификатов.

Гибкость и возможность изменения существующих политик – основные требования, предъявляемые к политикам на корпоративном уровне. Все продукты, за исключением MS предоставляют данную возможность. Реализация  MS не позволяет изменять существующие политики (В доступной бета версии Windows.NET уже устранена эта проблема).

Хранение параметров и настроек PKI

При проектировании и построении Инфраструктуры Открытых Ключей следует принимать во внимание особенности реализации хранения параметров и настроек PKI, так же в соответствии с профилем защиты PKI необходимо предотвратить доступ неавторизированных пользователей к конфигурационной информации PKI.

Всю необходимую для функционирования информацию Entrust/PKI хранит в зашифрованной базе данных Informix/Oracle, используя при этом систему безопасности сервера базы данных.

Решения iPlanet и RSA Keon используют собственную базу данных

Microsoft – Active Directory

Всю необходимую для функционирования информацию UniCERT хранит в базе данных Oracle, используя при этом систему безопасности сервера базы данных.

При сравнении по этому параметру мы наблюдаем достаточно ровную ситуацию по всем продуктам, следует лишь отметить шифрование базы данных у Entrust  и RSA

Средства аудита и предоставления отчетов

Средства аудита и составления отчетов – неотъемлемая часть инфраструктуры любой информационной системы и тем более, такой сложной и разветвленной как PKI.

При сравнении по этому критерию следует выделить три решения Entrust, UniCERT и RSA обеспечивающие полнофункциональные средства аудита и средств создания отчетов. iPalnet и MS не имеют собственных средств создания отчетов. Все из представленных продуктов имеют возможность перенаправлять поток событий в журналы событий операционных систем, на которых они работают, что дает возможность осуществлять контроль над состоянием системы и защитить их от несанкционированного доступа.

В целом при сравнении по критерию Управление Инфраструктурой следует отметить два решения Entrust и UniCERT обладающих удобными и разнообразными средствами управления, аудита и предоставления отчетов.

Поддерживаемые криптографические стандарты

Нет никакого смысла описывать необходимость для решений PKI придерживаться международных и Российских криптографических стандартов, в этом пункте сравнения ограничимся лишь перечислением поддерживаемых стандартов.

Поддерживаемые криптографические стандарты открытых ключей (PKCS) и Защищенные многоцелевые расширения почты Internet (S/MIME)

Поддерживаемые Алгоритмы Шифрования

Симметричные

Асимметричные

Хеширование

Функции, выполняемые клиентской частью

Настольные клиенты обеспечивают комплексный подход к  вопросу безопасности приложений, включая:

• Идентификацию пользователя
• Конфиденциальность работы пользователя
• Однократную аутентификацию при доступе к информационным ресурсам
• Управление ключами и сертификатами
• Проверка достоверности сертификата
• И как дополнительный параметр Защиту от НСД

Документация и техническая поддержка

Все из представленных решений обладают уровнем поддержки соответствующий самым требовательным заказчикам, а именно, поставщики решений предоставляют доступ до своих информационных центров: Knowledge Base, Online Support Center и поддерживаемых конференции. Доступ до службы технической поддержки (HelpDesk) может быть осуществлен в любой из заказанных форм 8х5 или 24х7. Так же доступны порталы по загрузке обновлений.

В Российской Федерации осуществляется техническая поддержка  всех представленных решений, через сертифицированные центры или партнеров рассматриваемых решений.

Средства разработки

Средства разработки необходимы корпоративным заказчикам для адоптации и расширения функций PKI к имеющейся инфраструктуре предприятия и поддержки разработок ПО использующего инфраструктуру открытых ключей.

Так как подробное рассмотрение  свойств инструментов и средств разработки это тема отдельного, большого сравнения и не входит в цели данного сравнения, оценка будет производиться по функциональным особенностям и количеству поддерживаемых языков программирования.

Наиболее широкие возможности для разработчиков предоставляют Entrust и MS, имеющие в своем составе инструменты для языков C/C++/Java/VisualBasic и широкий набор функций для построения взаимодействия как с Инфраструктурой Открытых Ключей в целом, так и с бизнес приложениями.

Выводы

В помощь для позиционирования продуктов на том или ином рынке приведем следующую таблицу:

Хочется отметить, что данное сравнение производилось для гипотетической корпорации, и не факт, что для внедрения инфраструктуры открытых ключей в Вашу организацию подойдут решения, позиционированные нами для Вашего сегмента  или решения только одного производителя, каждый случай сугубо индивидуален и нуждается в детальном проектировании.

Для наглядного представления результатов сравнения, приведем диаграмму, в которой сгруппируем все результаты по каждому из ранее рассмотренных критериев. Оценка будет производиться по привычной пятибальной системе,  где оценке

• Отлично – соответствуют  5 делений оценочной диаграммы;
• Хорошо – 4;
• Удовлетворительно -3.

Борис Рудаков