Архивы: по дате | по разделам | по авторам

Лучше поздно, чем ничего

Архив

автор : Максим Отставнов 01.03.2001

Мы давно не обращались к теме централизованной сертификации ключей и соответствующих бизнес-моделей. Два года назад девять страниц мелкого шрифта было посвящено сертификации ключей как коммерческой услуге и «технике безопасного Web’а»...

Мы давно не обращались к теме централизованной сертификации ключей и соответствующих бизнес-моделей. Два года назад, в апреле 1998-го, девять страниц мелкого шрифта ¹ было посвящено сертификации ключей как коммерческой услуге и «технике безопасного Web’а», то есть описанию технологии SSL и сертификации ключей и ее реализации в популярных продуктах.

Та публикация готовилась в ожидании скорого появления в стране рынка этих услуг, однако изменение конъюнктуры вследствие «кризисных» событий лета того же года «похоронило» рынок на два года.

В сегодняшней «Компьюномике» публикуется интервью с Алексеем Кузовкиным, вице-президентом по информационным технологиям информационно-аналитического агентства «РосБизнесКонсалтинг», которое с конца прошлого года импортирует в Россию услуги по сертификации ключей, предоставляемые компанией Thawte, ныне входящей в Verisign, Inc.

РБК начало с продажи сертификатов, удостоверяющих целостность ключей, которые используются для аутентификации контента сайтов, а в январе сего года к ним добавились сертификаты разработчика (удостоверяющие целостность ключей, используемых для аутентификации программного кода) и «диспетчер PKI», предназначенный для управления ключами совокупности сайтов.

Таким образом, в стране возник «прототип рынка» этих услуг и «прототип отрасли», на которой представлен пока один игрок. На подобную ситуацию всегда интересно взглянуть глазами «инсайдера», и я передал Кузовкину ровно те вопросы, которые, судя по письмам, больше всего интересуют читателей.

Что можно добавить, глядя «снаружи»?

Во-первых, основные технологические рамки реализации соответствующих технологий за два года, прошедшие с нашего первого экскурса в эту область, практически не изменились, и за комментариями я могу смело отослать к упомянутой апрельской (1998 г.) «Компьюномике».

Во-вторых, юридические рамки за тот же период поменялись: в большинстве развитых стран приняты законы или подготовлены законопроекты, приближающие статус криптографически аутентифицированных цифровых объектов к собственноручно подписанным документам.

В-третьих, глобальный рынок услуг по сертификации ключей превратился из конкурентного в монопольный. Хотя эти услуги предоставляют два десятка организаций, подавляющее большинство продаж (миллионы, в сравнении с десятками тысяч у ближайших конкурентов) в гражданском секторе приходится на американскую компанию Verisign, купившую грозного конкурента - южноафриканскую Thawte, - после того, как изменения в американском законодательстве позволили Verisign экспортировать свои услуги в большинство стран мира.

Залог успеха коммерческого сертификатора при сегодняшней архитектуре инфраструктуры открытых ключей - в том, чтобы его «корневым» ключом было снабжено большинство экземпляров браузеров, используемых в мире, и достаточно посмотреть на список учредителей Verisign, чтобы понять, что к чему.

В-четвертых, внутри самой криптографии за это время вызрела новая парадигма, включающая резкую критику предположений, на которых основана реализация централизованной инфраструктуры сертификации открытых ключей предшествующего поколения. Менеджменту компаний, глубоко увязших в электронной торговле, я рекомендую ознакомиться с вводными (нетехническими) главами прошлогодней книги Брандса ² и следить за развитием событий.

В-пятых, с основным тезисом Кузовкина, вынесенным в заголовок интервью, спорить мне совсем не хочется. Я согласен, что применение SSL и, соответственно, сертификация ключей, используемых в ее операциях, действительно - необходимое условие нормального функционирования сайта, выполняющего, как подчеркивает наш собеседник, не только «представительские» функции.

Я хотел бы только подчеркнуть, что необходимое - не значит достаточное. Сертификация ключей (так же, как и криптографические технологии вообще) не является «волшебной палочкой», обеспечивающей надежность, безопасность и защиту сетевых операций. Ее применение - важное, но всего лишь одно звено в политике безопасности.

В заключение не удержусь от того, чтобы дать бесплатный совет (хотя и знаю, как к таковым относятся): не пытайтесь внедрять SSL на сервере, не находящемся под вашим физическим контролем («физический контроль» означает в данном случае размещение оборудования в помещении офиса, защищенном не хуже, чем защищается место хранения печатей и штампов компании, или профессиональное опечатывание оборудования, размещенного в помещении третьего лица на условиях colocation) ³.

[i38553]

1 (обратно к тексту) - См. Приложение к «КТ» #224, 1998, сс. 1-9.
2 (обратно к тексту) - Stefan Brands. Rethinking Public Key Infrastructures: Building in Privacy. Cambridge-L.: MIT Press, 2000: 315 pp.: ISBN 0-262-02491-8, развернутую рецензию см. в этом номере, сами тексты см. на www.xs4all.nl/~brands.
3 (обратно к тексту) - В прошлом году я потратил массу усилий, чтобы купировать последствия и предотвратить скандал, связанный с «прорывом» защиты сервера одного из своих партнеров. И воспоминания об общении со всеми вовлеченными сторонами - как о чистке выгребной ямы.