В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 20. PKI: жестокая реальность По своему опыту мы знаем, что реализация и поддержка списков отзы- ва сертификатов обходится в немалую сумму. Системам отзыва требуется собственная инфраструктура, управление, пути коммуникации и т.п. Значи- тельный объем дополнительной функциональности нужен только для того, чтобы обрабатывать сравнительно редко используемые механизмы отзыва. 20.8.2 Быстрое устаревание Вместо списков отзыва можно использовать принцип быстрого устаре- вания. Данный принцип подразумевает использование существующего меха- низма устаревания сертификатов. Согласно ему центр сертификации должен выдавать сертификаты с очень малым сроком действия (от 10 мин до 24 ч). Каждый раз, когда пользователь хочет применить свой сертификат, он обра- щается к ЦС за новым сертификатом. Затем полученный сертификат может использоваться на протяжении всего срока действия. Точное значение скоро- сти устаревания может быть выбрано в соответствии с требованиями прило- жения, но на практике выдавать сертификаты со сроком действия меньше 10 мин нет смысла. Главное преимущество этой схемы состоит в использовании уже суще- ствующего механизма выдачи сертификатов. Системе больше не требуется отдельный список отзыва сертификатов, что значительно снижает ее слож- ность. Все, что нужно для отзыва разрешений, — это проинформировать ЦС о новых правилах доступа. Разумеется, для обновления сертификатов каж- дый член PKI должен быть постоянно подключен к ЦС. Одним из главных критериев проектирования для нас является простота, поэтому базе данных отзыва сертификатов мы предпочитаем быстрое уста- ревание. Возможность реализации последнего зависит главным образом от того, требуется ли приложению мгновенный отзыв, или же оно допускает некоторую задержку. 20.8.3 Отзыв обязателен Поскольку реализовать отзыв сертификатов довольно сложно, его всяче- ски пытаются избежать. В некоторых предложениях по реализации инфра- структуры открытого ключа нет ни слова об отзыве сертификатов. В других список отзыва сертификатов упоминается лишь как возможность последую- щего расширения. В действительности инфраструктура открытого ключа без какой-либо схемы отзыва оказывается бесполезной. Обстоятельства реальной жизни таковы, что ключи действительно подвергаются взлому, а следова- тельно, доступ к системе с помощью таких ключей должен быть аннулирован. Применять инфраструктуру открытого ключа без работающей системы от- зыва — это все равно, что выходить в открытое море на корабле без трюмных 20.9. Где может пригодиться инфраструктура открытого ключа 359 насосов. Теоретически корабль должен быть водонепроницаемым, а значит, ему не нужны трюмные насосы. На практике же в трюме корабля всегда собирается вода, и если от нее не избавиться, корабль в конце концов утонет. 20.9 Где может пригодиться инфраструктура открытого ключа В самом начале обсуждения инфраструктуры открытого ключа отмеча- лось, что ее назначение состоит в том, чтобы позволить участникам общения сгенерировать общий секретный ключ. Последний может применяться для создания безопасного канала общения, который, в свою очередь, позволяет двум участникам безопасно общаться друг с другом. Пользователь А хочет аутентифицировать сообщения пользователя Б (и наоборот) без привлечения третьего участника. Все это предполагалось сделать возможным с помощью инфраструктуры открытого ключа. Ничего не вышло. Не существует системы отзыва, которая бы работала в автономном ре- жиме. Это очень легко объяснить. Если ни пользователь А, ни пользователь Б не будут обращаться к стороннему участнику, они никогда не узнают, что один из их ключей был отозван. Поэтому им нужно иметь постоянное под- ключение к центру сертификации. Оба решения, предложенные нами в каче- стве схемы отзыва, требуют наличия постоянных подключений. Но, если мы все время подключены к ЦС, нам вовсе не нужна большая и сложная инфраструктура открытого ключа. Желательной безопасности можно достичь гораздо проще, с помощью централизованного сервера клю- чей наподобие описанного в главе 18, “Серверы ключей”. Рассмотрим преимущества инфраструктуры открытого ключа по сравне- нию с использованием сервера ключей. • Сервер ключей требует, чтобы каждый участник общения был все время к нему подключен. Если вы не можете связаться с сервером ключей, вы вообще ничего не сможете сделать. Пользователи А и Б никак не смо- гут распознать друг друга. В этом плане инфраструктура открытого ключа обладает некоторыми преимуществами. Если в качестве схемы отзыва применяется быстрое устаревание, участнику общения доста- точно лишь время от времени связываться с главным сервером. Для приложений, работающих с сертификатами, срок действия которых ис- числяется несколькими часами, это означает значительное послабление требований к наличию постоянного подключения. Даже при использо- вании базы данных отзыва сертификатов можно установить, как сле- дует поступать в том случае, если база данных отзыва недоступна. По- |