Как заставить PKI работать. Опыт Минобороны США
В нашей стране вопросам использования ЭЦП в органах государственной власти уделяется повышенное внимание, и многие министерства и ведомства весьма активно занимаются внедрением в свою повседневную практику технологий, основанных на использовании инфраструктуры открытых ключей (PKI). Опыт по внедрению PKI Минобороны США, возможно, позволит заранее подготовиться к процессу, избежать многих проблемных ситуаций, а также максимально эффективно организовать внедрение.
Оставшиеся 15% составляют "программные" сертификаты, которые выпускаются и для сотрудников, и для веб-серверов и используются для поддержки ряда устаревших программных приложений, не поддерживающих аппаратные "токены", а также в случае затруднений с выдачей САС-карт.
Для публикации необходимой для работы информации в Министерстве обороны была создана Глобальная служба каталогов (GDS), представляющая собой внутрикорпоративный справочник, содержащий сертификаты подчиненных УЦ, списки отозванных сертификатов (CRL), а также сертификаты шифрования. Кроме того, сертификаты подчиненных УЦ и списки отозванных сертификатов также публикуются и во внешней директории, что обеспечивает доступ к этой информации внешних пользователей.
Отзыв сертификатов осуществляется центрами регистрации. Восстановление ключей шифрования выполняется соответствующими "агентами", которые получают доступ к депозитарию ключей.
Еще в ходе проектирования инфраструктуры было проведено "тестирование под нагрузкой" для определения того, сколько сертификатов может выпускать отдельный УЦ. Однако при этом не были учтены другие функции, которые одновременно с выпуском сертификатов должен выполнять УЦ, такие как проверка удостоверяющих личность документов доверенных сотрудников, публикация и отзыв сертификатов, создание и публикация списков отозванных сертификатов, а также исполнение запросов на поиск определенных сертификатов. В результате данные тестирования производительности УЦ оказались сильно завышенными. Министерству обороны пришлось на ходу перестраивать работу удостоверяющих центров и создавать дополнительные центры регистрации с тем, чтобы обеспечить оперативность в работе.
Оборудование и технологии быстро "стареют"
Сама инфраструктура PKI Министерства обороны США рассчитана на долговременное использование. Срок правомочности корневого УЦ составляет 36 лет, а каждого подчиненного УЦ – 6 лет. Подчиненные УЦ выдают сертификаты в течение первых трех лет своего срока правомочности, после чего "уходят на покой" и в течение оставшихся трех лет только выпускают списки отозванных сертификатов. Полностью закрываются УЦ только тогда, когда истекает срок действия всех выданных ими сертификатов. Срок действия выданных государственным служащим CAC-карт составляет три года, а карты, выданные персоналу подрядчиков и поставщиков действительны не более года.
Министерству обороны США удалось осуществить внедрение PKI за три года
Такой подход позволяет проводить постепенную ротацию подчиненных удостоверяющих центров, а также дает возможность значительно сократить финансовые затраты на поддержание работы УЦ. Однако срок использования инфраструктуры PKI существенно отличается от сроков обновления оборудования и программного обеспечения. В результате спустя достаточно короткое время ни оборудование, ни программное обеспечение, используемые корневым УЦ минобороны, уже не поддерживаются соответствующими поставщиками. Более "старые" подчиненные УЦ также вынуждены работать на неподдерживаемых версиях оборудования и ПО, вследствие чего увеличивается потребность в техническом обслуживании и существенно возрастает его стоимость.
Большие трудности приносит и постоянный процесс изменения используемых технологий. Так, когда корневой УЦ был открыт, использовались ключи длиной 512 бит, а максимальная длина ключа, поддерживавшаяся поставщиками, составляла 1024 бита. Сейчас стандартом являются ключи длиной 1024 бита, а федеральное правительство США уже включило в нормативную базу требования о том, что все сертификаты, срок действия которых заканчивается позже 2008 года, должны быть выпущены с ключами длиной 2048 бит.
Решить проблему "устаревания" оборудования и технологий можно двумя способами. Первый - миграция существующего корневого УЦ на новое оборудование и программное обеспечение, а второй - создание нового корневого УЦ и выпуск действующим корневым УЦ "переходного" (rollover) сертификата для нового корневого УЦ. В краткосрочной перспективе миграцию существующего корневого УЦ осуществить проще, однако проблема 1024-битовой длины ключа при этом не решится. С другой стороны, создание нового корневого удостоверяющего центра с ключом длиной 2048 бит потребует больших затрат на распространение нового ключа по всему используемому в министерстве ПО, где употребляются сертификаты, выпущенные инфраструктурой PKI Министерства обороны. Кроме того, в этом случае придется в течение 3-6 лет поддерживать в рабочем состоянии две инфраструктуры (до тех пор, пока не будут выведены из работы все ныне существующие подчиненные УЦ).
Сертификаты и САС-карты нельзя изменить сразу
Также со временем изменений требуют и профили сертификатов. Так, PKI Министерства обороны первоначально не поддерживала расширения, необходимые для использования цифровых сертификатов для аутентификации сетей на базе Microsoft Windows.
Сертификаты в Windows
Windows требует наличия в сертификатах следующих расширений1:
1. должна быть указана точка распространения списков отозванных сертификатов;
2. атрибут "применение ключа" (Key Usage) должен иметь значение "цифровая подпись" (Digital Signature);
3. атрибут "расширенное применение ключа" (Extended Key Usage, EKU) должен содержать поле “Smart Card Logon Object Identifier” (следует отметить, что если атрибут EKU присутствует, он должен также содержать идентификаторы для всех остальных видов использования сертификата, таких как "авторизация клиента" - Client Authentication);
4. поле "альтернативное имя владельца сертификата" (Subject Alternative Name) должно содержать "основное имя пользователя" (User Principal Name, UPN) в формате user@name.com.
Когда требования были сформулированы и соответствующие изменения реализованы во всех подчиненных УЦ, все вновь выдаваемые CAC-карты стали содержать сертификат подписи, в котором имелась необходимая дополнительная информация. Однако Министерство проводит все изменения постепенно, по мере замены сертификатов (то есть полная замена сертификатов требует более трех лет). В связи с этим, в Министерстве обороны еще долго существовали пользователи, в CAC-картах которых эти расширения отсутствовали.
Помимо прочего, Министерство обороны столкнулось с необходимость налаживания миграции пользовательских смарт-карт. Поскольку срок действия большинства CAC-карт составляет три года, программное обеспечение, поддерживающее работу со смарт-картами (middleware), должно поддерживать технологии смарт-карт, использовавшиеся в течение последних трех лет.
В 2005 году в смарт-картах использовались чипы с 32K памяти, но Министерство обороны уже обдумывало возможность перехода на чипы с 64K. Новые чипы, помимо PKI, будут иметь дополнительные функциональные возможности. Замену карт планировалось проводить постепенно, по мере истечения их срока действия. В результате все пользователи Министерства обороны смогут воспользоваться новыми возможностями только тогда, когда закончится нормальный процесс замены старых карт, - т.е в течение трех лет придется использовать карты с разными возможностями, что будет создавать дополнительные трудности в работе.
Сначала сертификаты – потом карты
Развертывание системы удостоверяющих центров первоначально планировалось организовать следующим образом: Министерство обороны должно было централизованно управлять удостоверяющими центрами и остальными централизованными службами, а каждая служба и каждое агентство МО должны были выделить персонал для работы в центрах регистрации. На деле подразделения, первыми осваивавшие PKI, столкнулись с повсеместным отсутствием центров регистрации. На местах упорно не желали выделять дополнительный персонал и оплачивать расходы, связанные с обучением специалистов центров регистрации. Это создало реальную угрозу всему проекту.
Надо сказать, что Министерство обороны весьма грамотно вышло из тупика. Проанализировав сложившуюся ситуацию, в ноябре 1999 года было принято политическое решение: объединить программу развертывания инфраструктуры PKI и программу выдачи новых идентификационных карт всем гражданским и военным служащим Министерства, которую в это время реализовывало кадровое управление МО. Сотрудники управления по PKI и кадрового управления совместно продумали технологию, по которой существующие пункты выдачи идентификационных карт стали использоваться и для удостоверения личности, и для выдачи сертификатов вместе с картами.
Короткая ссылка на материал: //cnews.ru/link/a1735