Особенности использования корпоративного репозитория

Особенности использования корпоративного репозитория

Рациональное использование одного или нескольких общедоступных корпоративных репозиториев имеет ряд преимуществ. Одно из них заключается в том, что многие организации на момент развертывания PKI уже поддерживают некоторую систему корпоративного репозитория, и в нее достаточно просто внести дополнительную информацию, относящуюся к сертификатам открытых ключей. В отличие от ранее обсуждавшейся возможности частного распространения, когда пользователи обмениваются сертификатами только с теми, кого они знают, данный метод позволяет совершенно незнакомым друг с другом субъектам устанавливать отношения для дальнейшей коммуникации. Он также обеспечивает централизованное размещение искомой информации, что по сравнению с вариантом частного распространения позволяет существенно уменьшить количество сертификатов и списков САС, которые должны храниться локально.

Наконец, в силу того, что сертификаты и списки являются "самозащищенными" (то есть их целостность гарантируется цифровой подписью), сам механизм хранения ( репозиторий ) не нуждается в защите, с точки зрения целостности данных. Если же в репозитории хранится информация, которая не является "самозащищенной", то она должна быть защищена другими средствами. Например, ответы OCSP-респондера, содержащие информацию об аннулированных сертификатах, должны заверяться цифровой подписью для гарантии целостности ответов (включая целостность источника и данных). Более того, если репозиторий хранит обычные открытые ключи и/или списки САС, база данных репозитория должна быть защищена от несанкционированной модификации.

Отсутствие необходимости защищать репозиторий считается главным преимуществом при развертывании PKI. С другой стороны, развертывание онлайновых репозиториев связано с оперативным обслуживанием больших сообществ пользователей (порядка миллиона человек), поэтому количество необходимых организации репозиториев может быть значительным. Следовательно, могут возникнуть проблемы с репликацией информации через многие репозитории (например, снижение производительности, задержки распространения и проблемы синхронизации). К недостаткам можно отнести и то, что, хотя целостность PKI-информации, хранимой в репозитории, защищена, репозитории могут подвергаться атакам типа "отказ в обслуживании".

Хранимая в репозитории информация все же требует контроля доступа для предотвращения несанкционированной модификации данных, а также защиты конфиденциальности, когда это диктуется секретностью данных. Общедоступные корпоративные репозитории могут хранить и секретную информацию, особенно если она содержится в сертификатах и/или списках САС (хотя такое размещение не рекомендуется). Даже если в сертификатах не указывается ничего секретного, очевидно, что информация о внешних клиентах, инфраструктуре корпорации, именах и телефонах служащих, а также полученные на ее основании агрегированные данные носят конфиденциальный характер.

На уровне корпоративного домена возрастает риск того, что бесконтрольное распространение сертификатов и информации об аннулированных сертификатах приведет к росту потенциальной уязвимости. Вместе с осознанием риска растет нежелание организаций открывать доступ к корпоративным базам данных и потребность в методах масштабируемого распространения сертификатов и информации об аннулировании, позволяющих защитить организации от потенциальных угроз безопасности. В этом случае концепция общедоступного хранилища корпоративной базы данных должна быть приведена в соответствие с определенными корпоративными политиками, учитывающими то, что информация в репозитории по своей природе является конфиденциальной и, следовательно, не может быть полностью открытой.

Хотя проблемы секретности не всегда вызывают опасение во внутрикорпоративном контексте, они выходят на первый план, когда информация распространяется между разными корпоративными доменами. Эти проблемы особенно обостряются, когда один корпоративный домен взаимодействует с другим корпоративным доменом на базе кросс-сертификации или посредством общего для двух доменов головного удостоверяющего центра, что, естественно, требует взаимного обмена информацией о сертификатах и списках САС.

Иногда можно избежать распространения сертификатов и списков САС с конфиденциальной информацией. В относительно простой иерархии для предотвращения нежелательного раскрытия информации о корпоративной инфраструктуре может использоваться дерево информации каталога Directory Information Tree (DIT) [127], организованное на основе информационной базы объектов организации и знаний об их иерархии. В некоторых случаях также можно указывать в поле сертификата Distinguished Name ( отличительное имя ) локально уникальный идентификатор, имеющий значение в иерархии определенного УЦ, который по существу является отдельной доверяющей стороной. Тогда отличительное имя теряет смысл для стороннего наблюдателя, который может перехватить сертификат.

На практике эта возможность используется, когда доверяющая сторона является центральным субъектом. Например, если банк осуществляет валидацию сертификатов своих клиентов, то отличительное имя в сертификате клиента значимо только для этого банка. Отличительное имя может быть просто уникальным в рамках данной иерархии целым числом, которое указывается в специфическом банковском счете клиента, известном только банку. Сертификаты с такими отличительными именами иногда называют анонимными сертификатами, хотя это только один из возможных примеров. Несмотря на то, что анонимные сертификаты могут применяться в определенных случаях, возможности этого механизма ограничены - например, он совершенно не подходит для обмена сообщениями электронной почты. Более универсальным и безопасным методом масштабируемого распространения сертификатов и информации об аннулированных сертификатах является применение междоменного репозитория.