Инфраструктуры открытых ключей

Инфраструктуры открытых ключей

2-е издание, исправленное

Полянская О.Ю.

Национальный Открытый Университет “ИНТУИТ”
2016

2

УДК 004.056(07)
ББК 17
П54
Инфраструктуры открытых ключей / Полянская О.Ю., Горбатов В.С. - M.: Национальный Открытый
Университет “ИНТУИТ”, 2016 (Основы информационных технологий)
ISBN 978-5-9556-0081-9

В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI),
которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким
кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается
единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в
открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых
ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и
сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур
открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и
подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на
инциденты во время функционирования PKI.

(c) ООО “ИНТУИТ.РУ”, 2007-2016
(c) Полянская О.Ю., 2007-2016

3

Доверие в сфере электронных коммуникаций

Рассматривается понятие доверия в контексте электронных коммуникаций, приводится
характеристика ключевых элементов и механизмов доверия, обсуждаются политики
доверия и примеры ассоциаций доверия, вводится понятие инфраструктуры
безопасности, описываются сервисы инфраструктуры безопасности.

Понятие доверия

Новым популярным словом двадцать первого века стало слово “доверие”. Доверие
затрагивает многие стороны жизни людей, начиная от экономической, финансовой,
деловой сфер и заканчивая принятием политических решений. Доверие требуется при
приобретении товаров и услуг, открытии счетов в банках, заключении сделок, участии
в выборах президента. Поскольку “электронные” отношения становятся все более
привычными для миллионов людей - появляются возможности совершать покупки в
магазинах электронной торговли, пользоваться системами электронных банковских
расчетов, заключать электронные договора и даже участвовать в электронном
голосовании при проведении социологических опросов и выборов в органы
государственной власти, - значение доверия в сфере электронных коммуникаций
неуклонно возрастает.

Очевидно, что невозможно избежать проблем безопасности в сфере электронных
коммуникаций, но, в дополнение к технологиям защиты, можно выработать решение,
способное уменьшить риск. Это решение также известно как доверие . Доверие в сфере
электронных коммуникаций не ограничивается доверием к защищенным
компьютерным системам - ведь безопасность компьютерной системы зависит не
только от надежной операционной системы, но и от физических средств защиты, от
квалификации и надежности персонала и многого другого. Доверие между партнерами
напрямую зависит от специфики сферы реализации их деловых отношений. Например,
в финансовых приложениях, применяемых для межбанковских расчетов, последствия
выхода из строя системы могут быть чрезвычайно серьезны, поэтому степень доверия
друг к другу участников электронного взаимодействия должна быть намного выше,
чем в приложениях корпоративной электронной почты, где индивидуальный ущерб
относительно невелик. Критериями оценки степени доверия к любым компаниям-
производителям товаров и услуг одного уровня выступают ключевые элементы
доверия: предсказуемость, ресурсы и неопределенность [105].

Предсказуемость, то есть способность поставщика услуг постоянно производить
ожидаемый (позитивный) результат, позволяет покупателю услуг не поддерживать
все время высокий уровень бдительности. Чем более предсказуем уровень
безопасности сервиса и качества услуг онлайнового поставщика, тем легче покупателю
их приобрести.

Вообще говоря, обычно никто не заботится о доверии, пока не подвергаются риску
ущерба или потери значительные ресурсы (физические или информационные). Чем
больше риск, тем выше требования к доверию. Доверие требуется, когда имеется
большая неопределенность в возможности проверить операцию или результат. Если

4

вся информация о сторонах и сделках известна, то необходимость в доверии
существенно уменьшается, однако для большинства сделок характерна некоторая доля
неопределенности, включая неизвестную историю покупателя или продавца,
неизвестное качество товаров или услуг и т.п.

Пример 1.1.

Проиллюстрируем концепцию доверия на примере web-сайта электронной торговли.
Обычно продавец заботится о двух главных целях бизнеса: новых продажах (продажах
новым покупателям) и повторных продажах (продажах тем, кто купил раньше). Один
из способов повысить повторные продажи - это создать для покупателей высокий
уровень предсказуемости и безопасности сервиса через опыт начальной сделки.
Аргументами в пользу предсказуемости и безопасности сервиса могут быть
размещенный на странице сайта электронной торговли логотип авторитетной
доверенной третьей стороны или, например, символ “замок”, который продуцируют
системы безопасности, обеспечивающие защищенную связь по протоколу SSL. Логотип
доверенной третьей стороны на странице web-сайта может свидетельствовать о том,
что сайт прошел объективную проверку и сертифицирован компанией, которой
доверяет сообщество производителей и потребителей товаров и услуг в Интернете.

В приведенном примере ресурсы торгового web-сайта складываются из твердых
активов (покупаемых товаров и услуг) и деловой репутации (торговой марки и
финансового положения продавца и/или качества продаваемых товаров). Для
большинства компаний товары и деловая репутация равно важны. Фальсификация
товаров приводит к прямым материальным потерям. Компрометация торговой марки и
репутации может повлиять на снижение будущих продаж. Наконец, покупатель должен
быть уверен, что его персональные данные, в частности, информация кредитной карты,
будут обрабатываться с соблюдением правил безопасности. Невозможность визуально
следить за совершением сделки, к чему покупатель привык в обычном магазине,
означает, что покупатель должен доверять продавцу. Необходимость приобрести товар
у неизвестного продавца, то есть проявить слишком большое доверие, может заставить
покупателя отказаться от сделки.

Характерной чертой доверия является то, что на его приобретение требуется много
времени, а исчезнуть оно может очень быстро. Известно немало примеров, когда из-за
причастности к скандалам происходило падение крупных компаний за один день. С
другой стороны, если покупатель доверяет, он склонен быть лояльным. Чем ниже
степень доверия покупателя, тем ему легче обратиться к другому продавцу. По сути,
чтобы сохранить покупателей и увеличить повторные продажи, продавцу важно
обеспечить степень доверия к своему бизнесу выше, чем у конкурентов.

Для поддержки концепций доверия в сфере электронных коммуникаций были
разработаны специальные технологии (см. табл. 1.1).

Таблица 1.1. Примеры технологий, поддерживающих концепции доверия

Технология
Поддержка ключевых элементов

Анализ
уязвимости

Снижение количества атак на ресурсы, повышение предсказуемости и
уменьшение неопределенности качества услуг

5

Онлайновые
услуги
депонирования

Обеспечение защиты ресурсов в условиях неопределенности
взаимодействия с неизвестной стороной. Достижение предсказуемости
на основе истории транзакций депонирования

Контрольные
журналы

Анализ и фильтрация проблем, снижающих предсказуемость услуг

Межсетевые
экраны

Защита ресурсов от онлайновых атак

Реализовать доверие намного сложнее, чем просто понять, на чем оно строится.
Формирование доверительных отношений в реальной жизни может занимать месяцы,
годы и даже десятилетия.

Политики доверия

Один из простейших, но не самых эффективных методов установления доверия в сфере
электронных транзакций заключается в использовании прозрачных политик доверия.
Политики доверия должны обеспечивать:

конфиденциальность;
корректное использование информации;
реагирование в случае нарушения доверия ;
внутренние механизмы гарантирования непрерывности доверия ;
согласие пользователей.

Конфиденциальность

Политики конфиденциальности разрабатываются для того, чтобы пользователи
правильно понимали, как данная компания будет обращаться с той персональной и
деловой информацией, которую они ей предоставляют. Опубликованная на web-сайте
компании политика конфиденциальности объясняет правила использования
персональных данных и способствует установлению контакта с пользователями.
Пользователи должны ознакомиться с этой политикой и подтвердить свое согласие с
указанными правилами. Примером политики конфиденциальности может служить
политика, опубликованная на сайте Yahoo [207].

Корректное использование информации

Другой аспект политик доверия - корректное использование информации. Это касается
ситуаций, когда персональная информация может использоваться не в интересах
человека, а, например, для оценки его финансовых возможностей (доходов, суммы
медицинской страховки) как потенциального покупателя. В настоящее время
некоторые компании практикуют отбор и классификацию потребителей определенных
товаров и услуг, а затем продают эту информацию другим компаниям. Подобная
практика приводит к тому, что люди начинают получать по почте нежелательные

6

сообщения рекламного характера, спам, их вынуждают отвечать на телефонные
звонки, пытаются привлечь в качестве потенциальных клиентов кредитных карточных
систем и т.п.

Реагирование в случае нарушения доверия

Политика доверия должна предлагать некоторые финансовые гарантии, то есть
страховать пользователя, на тот случай, когда невозможно обеспечить полную защиту
его ресурсов. Достаточно часто в политиках содержится утверждение о том, что споры
о нарушении конфиденциальности рассматриваются в арбитражном суде. Следует
учитывать, что арбитражное разбирательство имеет гораздо менее серьезные
последствия для стороны, нарушившей политику доверия, чем судебное. Очевидно, что
в штате крупных компаний, заинтересованных в поддержке отношений доверия,
должен присутствовать администратор информационной безопасности или
ответственный за конфиденциальность персональных данных. К сожалению, на
практике чаще всего единственным выходом для клиентов при нарушении
конфиденциальности является прекращение использования сервисов данного web-
сайта.

Непрерывность доверия

Политика доверия должна раскрывать внутренние механизмы доверия и
демонстрировать, что доверие базируется не просто на обещаниях, а является важной
составной частью деловых операций. Примерами внутренних механизмов доверия
могут служить строгий контроль за уровнем подготовки и соблюдением служащими
политики конфиденциальности, защищенность компьютерных систем и оборудования,
а также аудит бизнес-процессов.

Согласие пользователей

Наконец, политика доверия должна предусматривать механизм получения согласия
пользователей. Он обычно называется участием. Многие организации либо не дают
возможности пользователям выражать согласие на участие, либо не обладают
системами, позволяющими отслеживать и исполнять предпочтения пользователей.
Часто компании автоматически предполагают согласие пользователя на участие, тем
самым перекладывая на него ответственность за возможные последствия нарушения
конфиденциальности.

Ассоциации доверия

В повседневной жизни люди часто допускают транзитивные отношения доверия.
Например, если наш друг дает хорошую рекомендацию человеку, которого мы не
знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием, чем

7

если бы познакомились с ним сами. В этом случае, поскольку мы доверяем своему
другу, то полагаемся на правильность его мнения.

Точно так же в сфере электронных коммуникаций и Интернета появился ряд
ассоциаций доверия, которые являются аффилиированными компаниями организаций,
web-сайтов и кадровых агентств и в зависимости от направления деятельности
осуществляют контроль соблюдения политики конфиденциальности, оценку
безопасности и надежности программного и аппаратного обеспечения, занимаются
аудитом систем и сертификацией специалистов и продуктов в сфере информационных
технологий. Некоторые примеры таких ассоциаций приведены в табл. 1.2 [105].

Так, например, известные ассоциации доверия Better Business Bureau и TrustE знакомят
другие компании с законами в области обеспечения конфиденциальности и помогают
им разрабатывать собственные политики и правила [39]. Если компания выполняет все
рекомендации ассоциации доверия, то получает ее “печать одобрения” (некоторый
символ или логотип ассоциации) для размещения на своем web-сайте.

Таблица 1.2. Примеры ассоциаций доверия

Общепринятое

название
Тип
Формальное название
Описание

BBB
Web-
сайт

Better Business Bureau Выдача компаниям свидетельств о

соблюдении ими правил
конфиденциальности

CCSA
Кадры
Certification in Control
Self-Assessments

Сертификация специалистов по
аудиту информационных систем

CISA
Кадры
Certified Information
Systems Auditor

Сертификация специалистов по
аудиту информационных систем

CISSP
Кадры
Certified Information
Systems Security
Professional

Сертификация специалистов по
безопасности информационных
систем

Common
Criteria
Системы Common Criteria
Оценка и сертификация безопасности
и надежности ИТ-продуктов

CPP
Кадры
Certified Protection
Professional

Сертификация специалистов в сфере
безопасности

GIAC
Кадры
Global Information
Assurance Certification

Сертификация специалистов

Good
Housekeeping
Web-
сайт

Good Housekeeping
Web Certification

Контроль соблюдения
конфиденциальности и сертификация

SAS70
Системы Statement on Auditing

Standards  70

Аудит систем

Trust E
Web-
сайт

Trust E
Контроль соблюдения
конфиденциальности, выдача
компаниям свидетельств

По существу эта печать идентифицирует доверие, связанное с рекомендациями
авторитетных ассоциаций, и подтверждает обязательства владельцев сайта в
отношении предоставленных посетителями сведений. Когда пользователь сталкивается

8

с неизвестным сайтом и видит “печать одобрения” авторитетной ассоциации, то
относится с большим доверием к компании-владельцу сайта. Ассоциации доверия берут
на себя функции контроля за соблюдением политики конфиденциальности. Если
проверка выявляет нарушение, то ассоциация уведомляет об этом компанию и
рекомендует ей пересмотреть принятые правила - с тем чтобы либо правила отражали
изменения в ее коммерческой деятельности, либо компания отказалась от подобной
практики.

Концепция инфраструктуры безопасности

Важным фундаментом доверия в сфере электронных коммуникаций является
поддержка инфраструктуры безопасности. Инфраструктура может рассматриваться
как базис некоторой масштабной среды. Всем известны такие инфраструктуры, как
компьютерные сети, позволяющие выполнять обмен данными между различными
компьютерами, и электросети, обеспечивающие работу разнообразного
электрооборудования. Несмотря на различия, их объединяет один и тот же принцип:
инфраструктура существует для того, чтобы совершенно разные субъекты могли
подключиться к ней и использовать ее в своих целях [44].

Инфраструктура, отвечающая целям безопасности, должна строиться на тех же
принципах и предоставлять те же преимущества. Инфраструктура безопасности
обеспечивает защищенность целой организации и должна быть доступна для всех
приложений и объектов организации, которым необходима безопасность. “Точки
входа” в инфраструктуру безопасности должны быть удобны и унифицированы, как
электрические розетки в стене, - ничто не должно мешать объектам, желающим
использовать инфраструктуру.

Инфраструктура безопасности, по сути, является рациональной архитектурой для
многих сред. Понятие инфраструктуры безопасности - достаточно широкое,
включающее в себя многие аспекты, в том числе совместимость имен, политики
авторизации, мониторинг, аудит, управление ресурсами, контроль доступа и т.п.

Большинство технических специалистов связывают доверие в сфере электронных
коммуникаций с надежной инфраструктурой, к которой относятся системы,
приложения и процессы, обеспечивающие надежную, защищенную обработку
транзакций. Важными компонентами этой инфраструктуры являются межсетевые
экраны, маршрутизаторы, сканеры вирусов, средства оценки уязвимости и
защищенные серверы. Большая доля ИТ-затрат приходится на них, поскольку они
образуют наиболее осязаемую материальную базу защиты доверия.

Уровни инфраструктуры

Рассмотрим уровни инфраструктуры безопасности (рис. 1.1). Простейший уровень,
находящийся внизу, - это физический уровень. Принимая во внимание ограниченное
число рисков, связанных с физическими атаками, этот уровень защищать проще, чем
другие. Чтобы гарантировать трудность физического доступа к центру хранения и

9

обработки данных или аналогичным ресурсам, используют одновременно средства
сигнализации, охрану и замки. Интересно отметить, что бывает проще физически
разрушить хорошо защищенный сайт, чем взломать его. Следовательно, организации
важно иметь хорошо проработанный план восстановления после аварии, включая
организацию центров “горячего” и “теплого” резервирования данных.

Физический уровень

Хотя физический доступ и не рассматривается как реальная угроза сегодняшнего дня,
очевидно, что нарушение физической безопасности может привести к нарушению
информационной безопасности. Для обеспечения высокой степени доверия к защите
физического уровня необходимы следующие меры:

Ограниченный доступ с использованием нескольких механизмов аутентификации
(например, применение биометрического устройства и считывателя карт).
Постоянный мониторинг безопасности с использованием видео- и
аудиоаппаратуры, сенсорный мониторинг внешней и внутренней среды.
Обученный персонал, отвечающий за безопасность.
Журналы, регистрирующие доступ по ID-картам, проверку документов службой
охраны и т.п.

Системный уровень

Следующий уровень, системный, включает совокупность взаимодействующих друг с
другом систем. Поддержку доверия на этом уровне реализовать сложнее, потому что
может быть обеспечена безопасность систем в комплексе, а может быть защищена
отдельно каждая система.

На системном уровне должна быть обеспечена безопасность двух ключевых
компонентов - операционной системы (ОС) и сети. Бреши в ОС являются базисом
многих атак на инфраструктуру. Уязвимость ОС связана с их постоянным
обновлением: системные администраторы иногда забывают устанавливать “заплаты”
(файлы с исправлениями), чтобы своевременно защищать уязвимые места. Кроме того,
модификация разработчиком ОС функций безопасности способна иногда влиять на
базовую функциональность, вынуждая системных администраторов откладывать
обновление системы.

10