Глава 20. PKI: жестокая реальность
ся включить код для интерпретации языка передачи полномочий. Переход
к новой версии языка может оказаться слишком сложным, особенно из-за
того, что функции обеспечения безопасности проникают в каждый уголок
системы. Между тем мы просто не в состоянии разработать настолько общий
язык, чтобы он был способен удовлетворить все потенциальные будущие тре-
бования, так как не знаем, что может случиться в будущем. Данный вопрос
остается открытым для дальнейших исследований.
И наконец, четвертая проблема систем мандатов, скорее всего, никогда не
будет преодолена. Все дело в том, что концепция избранной передачи полно-
мочий слишком сложна для среднестатистического пользователя. Мы не зна-
ем, как ознакомить пользователей с понятием правил доступа, чтобы они это
поняли. Попросив пользователей подумать о том, какие полномочия следует
передавать другому человеку, вы автоматически обрекаете себя на провал.
Подобные ситуации можно повсеместно наблюдать в реальной жизни. Сре-
ди студентов весьма распространено поведение, когда одного человека просят
пойти к банкомату и получить деньги сразу за всех. Другие студенты отдают
ему свои банковские карточки и сообщают PIN-коды. Это в высшей степе-
ни глупый поступок, вместе с тем подобное поведение свойственно и более
опытным людям. Работая консультантами, мы посещали множество компа-
ний. Иногда в ходе работы у нас возникала необходимость получения доступа
к локальной сети. Мы были просто потрясены тем, какие возможности до-
ступа открывались перед нами, в общем-то совершенно посторонними людь-
ми. Системные администраторы предоставляли нам неограниченный доступ
к данным, полученным в ходе исследований, в то время как нам было нужно
лишь взглянуть на пару файлов. Если с подобным заданием не справляются
и системные администраторы, что уж говорить о рядовых пользователях!
Как криптографы, мы бы одобрили идею системы мандатов, если бы толь-
ко пользователи смогли справиться с ее сложностью. Несомненно, вопрос вза-
имодействия человека с системами безопасности должен подвергнуться более
тщательному изучению.
Существует, однако, одна область, в которой применение мандатов прино-
сит огромную пользу и должно быть обязательным. В иерархической струк-
туре центров сертификации главный ЦС подписывает сертификаты ключей
подчиненных ЦС. Если эти сертификаты не включают в себя какие-либо
ограничения полномочий, каждый подчиненный ЦС будет наделен неогра-
ниченной властью. Это очень плохо влияет на безопасность системы, по-
скольку лишь увеличивает количество мест, в которых хранятся ее крити-
ческие ключи.
В иерархии центров сертификации возможности подчиненного ЦС долж-
ны быть ограничены путем включения соответствующих ограничений в сер-
тификат его ключа. Для выполнения операций над сертификатами ЦС раз-
20.7. Измененная мечта
355
работчику понадобится язык передачи полномочий наподобие того, который
упоминался несколько выше. Выбор конкретного типа ограничений зависит
от приложения. Просто подумайте, какой тип подчиненных ЦС нужен ваше-
му приложению и как следует ограничить их возможности.
20.7
Измененная мечта
Давайте подытожим все критические замечания, высказанные в адрес ин-
фраструктуры открытого ключа, и немного подкорректируем нашу мечту.
Это будет гораздо более реалистическое представление о том, как должна
выглядеть PKI.
Прежде всего каждое приложение должно иметь свою инфраструкту-
ру открытого ключа с собственным центром сертификации. Мир состоит из
огромного количества небольших инфраструктур открытого ключа. Каждый
пользователь одновременно является членом множества разнообразных ин-
фраструктур.
В каждой инфраструктуре открытого ключа пользователь должен приме-
нять разные ключи. Использование одного и того же ключа в разных систе-
мах было бы возможно только при тщательном координировании процессов
их разработки. По этой причине хранилище ключей каждого пользователя
будет содержать десятки ключей и занимать десятки килобайт дискового
пространства.
Основное назначение инфраструктуры открытого ключа состоит в том,
чтобы привязать ключ к мандату. Например, инфраструктура открытого
ключа банка привязывает ключ пользователя А к мандату, который раз-
решает осуществлять доступ к счету этого пользователя. Инфраструктура
открытого ключа компании, в свою очередь, привязывает ключ пользовате-
ля А к мандату, который предоставляет доступ к виртуальной частной сети.
Значительные изменения полномочий пользователя требуют выдачи нового
сертификата. Сертификаты все еще включают в себя имя пользователя, од-
нако последнее применяется лишь в нуждах управления и аудита.
Как видите, измененная мечта стала более реалистичной. Она также об-
ладает б´ольшими возможностями, большей гибкостью и безопасностью, чем
первоначальная. Было бы так приятно считать, что измененная мечта решит
все наши проблемы управления ключами! К сожалению, существует пробле-
ма (она описана в следующем разделе), которая никогда не будет решена до
конца и всегда будет требовать компромиссов.
356
Достарыңызбен бөлісу: |