Политика и регламент pki

Фундаментом инфраструктуры ОК является «практика доверия», поэтому при развертывании данной инфраструктуры компании должны придти к общему соглашению о том, что она из себя представляет. Компании должны создать собственные уникальные соглашения о доверии, регулирующие обязательства и ответственности каждой из сторон, то есть создать политику инфраструктуры открытых ключей.

Политика большинства систем PKI направлена на решение технических, административных, юридических и кадровых проблем. К основным требованиям в политике PKI относятся: ее соответствие общей корпоративной политике безопасности, четкость и однозначность формулировок, доступность изложения, разграничение ответственности между субъектами PKI, адекватность ограничений и пределов ответственности требованиям сферы применения сертификатов.

Основным стандартом, регламентирующим разработку политики PKI, является RFC 2527 «Certificate Policy and Certification Practices Framework». Согласно данному стандарту основными документами, описывающими политику PKI, являются документ о политике применения сертификатов и регламент.

Под политикой применения сертификатов понимается установленный набор правил, характеризующих возможность применения сертификата определенным сообществом и/или классом приложений с определенными требованиями безопасности. Данная политика позволяет доверяющей стороне оценить надежность использования сертификата для определенного приложения.

Регламент удостоверяющего центра есть документ, в котором в четкой, детальной форме изложена система и практика, которая придерживается УЦ при работе с сертификатами. В нем точно формулируются обязанности УЦ перед доверяющей стороной, а также все то, что потенциально необходимо для понимания и принятия во внимание доверяющими сторонами.

Политика и регламент применения сертификатов взаимно дополняют друг друга, формат их публикации устанавливается стандартом RFC 2527 - «Политика применения сертификатов и структура регламента». Перечень разделов, рекомендуемых к включению в описание политики PKI согласно данному стандарту, представлен на рис. 5.4.

Программные средства поддержки pki

Процесс развертывания PKI осуществляется на выбранных программных и программно-аппаратных средствах. Наиболее известными продуктами, на базе которых разворачивается инфраструктура открытых ключей, являются:

1. Entrust/PKI фирмы Entrust Technologies.

2. Baltimore UniCERT фирмы Baltimore Technologies LTD.

3. BT TrustWise Onsite фирмы VeriSign Inc.

4. IBM Trust Authority.

5. RSA Keon Certification Authority фирмы RSA Security Inc.

6. VCERT PKI компании ЗАО «МО ПНИЭИ».

7. Семейство продуктов «КриптоПро».

Для российских условий наиболее адаптированным и полнофункциональным продуктом, на базе которого можно развернуть инфраструктуру открытых ключей, является «КриптоПро».

Рис. 5.4. Перечень разделов политики PKI

Программный комплекс «Удостоверяющий центр» – «КриптоПро УЦ» позволяет в полном объеме реализовать инфраструктуру открытых ключей. В состав КриптоПро УЦ входят следующие компоненты:

1. Центр сертификации, функционирующий на платформе Windows 200 Server.

2. Центр регистрации, функционирующий на платформе Windows 2000 Server и использующий для решения своих задач базу данных Microsoft SQL 2000, Microsoft IIS 5.0, CRYPTO API 2.0.

3. АРМ администратора ЦР, функционирующий в ОС Windows 2000 Professional в рамках Microsoft Management Console и предназначенный для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, генерацией ключей и сертификатов.

4. АРМ пользователя, представляющий собой web-приложение, размещенное на сервере ЦР. Функционирует в ОС Windows 95 и выше. Данный АРМ обеспечивает шифрование информации, передаваемой ЦР с использованием протокола TLS с двусторонней аутентификацией.

5. Программный интерфейс взаимодействия с УЦ.

Архитектура УЦ КриптоПро представлена на рис. 5.5.

Рис. 5.5. Архитектура удостоверяющего центра КриптоПро