Глава 20. PKI: жестокая реальность
Нельзя не отметить еще один аспект имен. В европейских странах суще-
ствуют законы об охране частной жизни. Они ограничивают объем информа-
ции о человеке, которую разрешено иметь той или иной организации. Напри-
мер, супермаркет, выдающий вам дисконтную карту, не имеет права спраши-
вать вас, хранить или каким-либо другим способом обрабатывать ваш SSN
или SoFi. Это ограничивает область возможного применения государствен-
ных схем именования.
Так какое же имя следует использовать для идентификации пользователя
в инфраструктуре открытого ключа? Поскольку многие люди имеют множе-
ство разных имен, это становится настоящей проблемой. Возможно, девушке
по имени Алиса хочется иметь два разных ключа — один для личной, а вто-
рой для деловой переписки. В этом случае для получения одного ключа она
может использовать свою девичью фамилию, а для получения второго —
фамилию по мужу. При попытке разработать всеобщую инфраструктуру от-
крытого ключа подобные вещи быстро приводят к серьезным проблемам. Это
одна из причин того, почему множество маленьких инфраструктур открыто-
го ключа, созданных специально для конкретных приложений, функциони-
руют гораздо лучше, чем одна большая.
20.2
Полномочный орган
Кто выступает в роли центра сертификации, уполномоченного присваи-
вать ключи именам? Почему он уполномочен выдавать ключи данному кругу
имен? Кто решает, является ли человек с данным именем сотрудником ком-
пании, которому следует предоставить доступ к виртуальной частной сети,
или же, скажем, клиентом банка с ограниченным доступом?
В большинстве рассмотренных нами примеров ответить на последний во-
прос было несложно. Работодатель знает, кто является, а кто не является его
сотрудником. Банк знает своих клиентов. Это дает нам первое указание на
то, какая организация должна выступать в качестве центра сертификации.
К сожалению, в нашем мире нет авторитетного источника, который мог бы
выступать в качестве ЦС всеобщей инфраструктуры открытого ключа. Вот
почему создать такую инфраструктуру невозможно.
Планируя инфраструктуру открытого ключа, следует подумать о том,
кто будет уполномочен выдавать сертификаты. Например, компания может
прекрасно справляться с ролью полномочного органа по отношению к служа-
щим. Компания не выбирает официальное имя для своего сотрудника, но она
знает, под каким именем этот человек известен
внутри компании
. Никого не
волнует, если сотрудника по имени Фред Смит на самом деле зовут Альфре-
20.3. Доверие
349
дом. Имя Фред Смит вполне подходит для идентификации этого человека
среди служащих компании.
20.3
Доверие
Управление ключами — самая трудная проблема криптографии, а инфра-
структура открытого ключа — одно из лучших имеющихся у нас средств для
ее решения. К сожалению, успешность последнего полностью зависит от без-
опасности инфраструктуры открытого ключа, а значит, и от степени доверия
к центру сертификации. Подумайте, какой ущерб может быть нанесен ком-
пании, если ЦС начнет фабриковать поддельные сертификаты. Центр серти-
фикации сможет выдавать себя за любого пользователя системы, а значит,
о безопасности можно забыть.
Всеобщая инфраструктура открытого ключа — объект мечтаний любого
разработчика, однако в плане доверия она не выдерживает никакой критики.
Как по-вашему, стал бы банк, которому нужно взаимодействовать со свои-
ми клиентами, доверять кому бы то ни было на другом конце мира? Или
бюрократическому аппарату своей собственной страны? Сколько денег вы
можете потерять, если центр сертификации начнет вести себя неподобаю-
щим образом? Какую степень ответственности согласен взять на себя центр
сертификации? Позволят ли вам местные законы о банковском деле взаимо-
действовать с иностранным центром сертификации? Все эти проблемы очень
серьезны. Только подумайте, какой ущерб может быть нанесен компаниям по
всему миру, если закрытый ключ центра сертификации будет опубликован
на каком-нибудь Web-узле. . .
Для большей наглядности попробуем представить себе эту проблему в бо-
лее традиционных терминах. Центр сертификации — это организация, кото-
рая раздает ключи к офисам. Большинство крупных офисов имеют охрану,
нанятую извне в какой-нибудь охранной фирме. Охрана следит за тем, что-
бы никто не нарушал правила входа в офис; это довольно простая и вполне
понятная задача. Между тем решение о том, кому следует выдавать ключи
для входа в офис, — задача, которую редко перепоручают кому-нибудь со
стороны, поскольку это фундаментальная часть политики безопасности. По
этой же причине обязанности ЦС не следует возлагать на внешний источник.
Ни одной организации в мире не доверяют абсолютно все. Не существует
даже такой организации, которой бы доверяло подавляющее
большинство
населения. Как видите, создать всеобщую инфраструктуру открытого клю-
ча невозможно. Следовательно, придется использовать множество небольших
инфраструктур. Именно такое решение предлагается во всех наших приме-
рах. Банк может выполнять роль собственного ЦС; в конце концов, банк дове-
350
Достарыңызбен бөлісу: |