В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 20. PKI: жестокая реальность ся включить код для интерпретации языка передачи полномочий. Переход к новой версии языка может оказаться слишком сложным, особенно из-за того, что функции обеспечения безопасности проникают в каждый уголок системы. Между тем мы просто не в состоянии разработать настолько общий язык, чтобы он был способен удовлетворить все потенциальные будущие тре- бования, так как не знаем, что может случиться в будущем. Данный вопрос остается открытым для дальнейших исследований. И наконец, четвертая проблема систем мандатов, скорее всего, никогда не будет преодолена. Все дело в том, что концепция избранной передачи полно- мочий слишком сложна для среднестатистического пользователя. Мы не зна- ем, как ознакомить пользователей с понятием правил доступа, чтобы они это поняли. Попросив пользователей подумать о том, какие полномочия следует передавать другому человеку, вы автоматически обрекаете себя на провал. Подобные ситуации можно повсеместно наблюдать в реальной жизни. Сре- ди студентов весьма распространено поведение, когда одного человека просят пойти к банкомату и получить деньги сразу за всех. Другие студенты отдают ему свои банковские карточки и сообщают PIN-коды. Это в высшей степе- ни глупый поступок, вместе с тем подобное поведение свойственно и более опытным людям. Работая консультантами, мы посещали множество компа- ний. Иногда в ходе работы у нас возникала необходимость получения доступа к локальной сети. Мы были просто потрясены тем, какие возможности до- ступа открывались перед нами, в общем-то совершенно посторонними людь- ми. Системные администраторы предоставляли нам неограниченный доступ к данным, полученным в ходе исследований, в то время как нам было нужно лишь взглянуть на пару файлов. Если с подобным заданием не справляются и системные администраторы, что уж говорить о рядовых пользователях! Как криптографы, мы бы одобрили идею системы мандатов, если бы толь- ко пользователи смогли справиться с ее сложностью. Несомненно, вопрос вза- имодействия человека с системами безопасности должен подвергнуться более тщательному изучению. Существует, однако, одна область, в которой применение мандатов прино- сит огромную пользу и должно быть обязательным. В иерархической струк- туре центров сертификации главный ЦС подписывает сертификаты ключей подчиненных ЦС. Если эти сертификаты не включают в себя какие-либо ограничения полномочий, каждый подчиненный ЦС будет наделен неогра- ниченной властью. Это очень плохо влияет на безопасность системы, по- скольку лишь увеличивает количество мест, в которых хранятся ее крити- ческие ключи. В иерархии центров сертификации возможности подчиненного ЦС долж- ны быть ограничены путем включения соответствующих ограничений в сер- тификат его ключа. Для выполнения операций над сертификатами ЦС раз- 20.7. Измененная мечта 355 работчику понадобится язык передачи полномочий наподобие того, который упоминался несколько выше. Выбор конкретного типа ограничений зависит от приложения. Просто подумайте, какой тип подчиненных ЦС нужен ваше- му приложению и как следует ограничить их возможности. 20.7 Измененная мечта Давайте подытожим все критические замечания, высказанные в адрес ин- фраструктуры открытого ключа, и немного подкорректируем нашу мечту. Это будет гораздо более реалистическое представление о том, как должна выглядеть PKI. Прежде всего каждое приложение должно иметь свою инфраструкту- ру открытого ключа с собственным центром сертификации. Мир состоит из огромного количества небольших инфраструктур открытого ключа. Каждый пользователь одновременно является членом множества разнообразных ин- фраструктур. В каждой инфраструктуре открытого ключа пользователь должен приме- нять разные ключи. Использование одного и того же ключа в разных систе- мах было бы возможно только при тщательном координировании процессов их разработки. По этой причине хранилище ключей каждого пользователя будет содержать десятки ключей и занимать десятки килобайт дискового пространства. Основное назначение инфраструктуры открытого ключа состоит в том, чтобы привязать ключ к мандату. Например, инфраструктура открытого ключа банка привязывает ключ пользователя А к мандату, который раз- решает осуществлять доступ к счету этого пользователя. Инфраструктура открытого ключа компании, в свою очередь, привязывает ключ пользовате- ля А к мандату, который предоставляет доступ к виртуальной частной сети. Значительные изменения полномочий пользователя требуют выдачи нового сертификата. Сертификаты все еще включают в себя имя пользователя, од- нако последнее применяется лишь в нуждах управления и аудита. Как видите, измененная мечта стала более реалистичной. Она также об- ладает б´ольшими возможностями, большей гибкостью и безопасностью, чем первоначальная. Было бы так приятно считать, что измененная мечта решит все наши проблемы управления ключами! К сожалению, существует пробле- ма (она описана в следующем разделе), которая никогда не будет решена до конца и всегда будет требовать компромиссов. |