Оперативные новости и аналитические материалы мира высоких технологий
Статья

Как заставить PKI работать. Опыт Минобороны США

Безопасность Цифровизация Документооборот Стратегия безопасности

В нашей стране вопросам использования ЭЦП в органах государственной власти уделяется повышенное внимание, и многие министерства и ведомства весьма активно занимаются внедрением в свою повседневную практику технологий, основанных на использовании инфраструктуры открытых ключей (PKI). Опыт по внедрению PKI Минобороны США, возможно, позволит заранее подготовиться к процессу, избежать многих проблемных ситуаций, а также максимально эффективно организовать внедрение.

При создании инфраструктуры открытых ключей неизбежно появляются проблемы всевозможного характера: от технологических до организационных. Эти проблемы будут "тормозить" процесс внедрения и эксплуатации PKI, что, безусловно, увеличит временные и, прежде всего, финансовые затраты на проект. Здесь показателен опыт Министерства обороны США. В нем была развернута одна из крупнейших в мире инфраструктур PKI. По мере внедрения Минобороны сталкивалось с неочевидными на первый взгляд трудностями, каждая из которых требовала оптимального, быстрого и эффективного реагирования. Из полученного опыта можно извлечь некоторые полезные советы для построения глобальной структуры PKI в России.

Одна из основных проблем, с которой столкнулось Министерство обороны США после внедрения PKI, - массовое неприятие технологии PKI пользователями. Как показала практика, причиной "негатива" стала нехватка программ и средств обучения, специально ориентированных на их интересы.

Давно известно, что большинство пользователей воспримут новую технологию быстрее и лучше, если увидят реальную для себя пользу от ее применения. Первоначально этот фактор совершенно не учитывался - курс обучения основам PKI часто начинался с подробных объяснений концепций, лежащих в основе технологии открытых ключей. В результате, когда дело, наконец, доходило до практики, большинство обучающихся уже успевали внушить себе, что все это слишком сложно. Поскольку у сотрудников была возможность вести электронную почтовую переписку и без использования электронной подписи, очень часто они покидали курсы в уверенности, что PKI освоить трудно, да и незачем. Опережающее решение использовать смарт-карты привело к тому, что многие пользователи получили CAC-карты ("карты общего доступа") за несколько месяцев до получения устройств чтения этих карт, причем еще тогда, когда ни одна из систем не требовала использования электронных подписей.

В итоге для большинства пользователей опыт использования электронной подписи свелся к ожиданию в очереди на получение карт и к использованию CAC-карт так же, как ранее использовались идентификационные карты. Такие пользователи не увидели никакой реальной отдачи от новой технологии. Даже установка огромного количества считывателей смарт-карт и появление систем, поддерживающих технологию открытых ключей, пока не смогли сделать массовой технологию электронной подписи в Министерстве обороны США.

Еще одной сложной задачей оказалось преодоление организационных трудностей: как напрямую связанных с пользователями, руководителями и разработчиками инфраструктуры, так и общеорганизационных проблем, таких как координация общих процессов в корпоративной структуре такого масштаба, налаживание рабочего взаимодействия между совершенно различными подразделениями и определение того, какая из структур Министерства должна нести основную ответственность за каждый из элементов общей архитектуры PKI.

Помимо этого, в процессе внедрения возникали разные технические и технологические трудности, однако разобраться с ними оказалось несколько проще.

Несмотря на масштабность проекта, министерству обороны США удалось осуществить внедрение PKI в достаточно короткие сроки. Так, возможность использования технологии открытых ключей для защиты информации начала изучаться в 1997 году. Уже на следующий год был реализован тестовый вариант инфраструктуры PKI, а с 2000 года началось ее массовое развертывание.

Сначала определяется архитектура PKI

Для начала в Министерстве обороны был создан один корневой и нескольких подчиненных удостоверяющих центров (УЦ). Корневой УЦ выпускает сертификаты только для подчиненных УЦ, а сами подчиненные - пять типов сертификатов: личности, подписи, шифрования, подписания кода и сертификат на компоненты.

Сертификаты личности и подписи используются для аутентификации пользователя программного обеспечения и для электронного подписания документов и сообщений электронной почты. Адрес электронной почты в основной сертификат личности не включается, поскольку при постоянном перемещении персонала адреса электронной почты у многих часто изменяются. Сертификаты подписи и шифрования, наоборот, содержат адреса электронной почты. Новые "почтовые" сертификаты выпускаются при предъявлении действующего сертификата личности. Сертификаты на компоненты выпускаются для веб-серверов и других устройств. Сертификаты подписания кода выдаются отдельным подразделениям МО, которые допускают использование так называемых "мобильных кодов".

Помимо удостоверяющих центров были созданы: внутренний каталог серверов и депозитарий ключей (KED). Все связанные с сертификатами шифрования закрытые ключи перед выпуском сертификатов депонируются в депозитарии.

Выпуск сертификатов осуществляется в двух вариантах: в программном варианте и на внешних устройствах. Только в 2000-2005 годах удостоверяющими центрами Министерства обороны США было выпущено 3,5 миллиона цифровых сертификатов. 85% из них составляют так называемые "карты общего доступа" (CAC), которые выпускаются на внешних устройствах и выдаются всему персоналу Министерства обороны.

Инфраструктура открытых ключей МО США

Источник: Rebecca Nielsen, Booz Allen Hamilton “Observations from the Deployment of a Large Scale PKI"

"Карта общего доступа" представляет собой смарт-карту, поддерживающую язык Java и сертифицированную на соответствие требованиям уровня 2 федерального стандарта в области обработки информации FIPS 401. Java-карта была выбрана по двум критериям: во первых, помимо PKI, она позволяет обеспечивать использование и других функциональных возможностей. Кроме того, было учтено, что данный вид карты производится достаточно большим количеством фирм-поставщиков, что позволяет ведомству проводить реальный конкурс на их поставку. Удостоверение личности и выпуск сертификатов на CAC-картах проводятся с использование существующей в Министерстве обороны системы выпуска персональных идентификационных карт. Поскольку УЦ не имеют возможности напрямую взаимодействовать с картами CAC, для упрощения процессов генерации ключей, создания запроса на сертификат и включения выпущенных сертификатов в действие используются "порталы выдачи".