Публикация и репозитории
Публикация и репозитории
Публикация - это наиболее популярный метод распространения сертификатов и информации об аннулированных сертификатах в больших сообществах, где пользователи не знакомы друг с другом. Суть метода состоит в том, что информация PKI размещается в общеизвестном, открытом и легко доступном месте. Идея публикации в контексте криптографии с открытыми ключами впервые появилась в работе Диффи и Хэллмана "Новые направления в криптографии" [63]. Это была первая открытая работа по криптографии с открытыми ключами. Авторы предложили модель публикации и распространения открытых ключей, взяв за образец телефонный справочник.
Для современных PKI обычной практикой является публикация сертификатов и информации об аннулированных сертификатах в репозитории. В (лекции 3) была введена концепция репозитория. Вообще говоря, репозиторий - это общий термин, используемый для обозначения любой логически централизованной базы данных, способной хранить и распространять информацию о сертификатах по запросам [31]. В организации репозитории обычно размещаются на удаленных серверах, доступ к которым осуществляется по протоколу LDAP версий 2 и 3. Репозиторий часто базируется на информационной модели и протоколах, определенных рекомендациями X.500. Однако термин репозиторий можно применять к базе данных или любой другой форме хранения и распространения информации. Под определение репозитория попадают:
* серверы LDAP;
* агенты системы каталога X.500;
* OCSP-респондеры (серверы, обслуживающие запросы пользователей по онлайновому протоколу статуса сертификата); хотя, как установлено документом RFC 2560 [155], OCSP-респондер публикует только информацию об аннулировании;
* система доменных имен DNS (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2538 [153]);
* web-серверы (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2585 [156] и могут быть получены по протоколу передачи гипертекста HTTP);
* ftp-серверы (сертификаты и информация об аннулированных сертификатах поддерживаются в соответствии с документом RFC 2585);
* корпоративные базы данных, которые могут содержать информацию о сертификатах и их аннулировании и обладают адекватными механизмами управления и доступа.
Как следует из приведенного списка, клиентские системы могут получать информацию из этих репозиториев посредством разных протоколов доступа (хотя в корпоративных PKI доминирует протокол LDAP). В идеальном случае это позволяет практически любым конечным субъектам получать в ответ на запросы сертификаты и списки САС. В корпоративной сфере обычно поддерживается анонимный доступ к сертификатам и информации об аннулировании. Но при передаче сертификатов и списков САС в репозиторий важен контроль доступа, поскольку несанкционированный доступ может угрожать безопасности (например, один САС может быть подменен другим списком или сертификаты конечных пользователей могут быть заменены друг на друга).
Клиентское программное обеспечение может определять местонахождение репозитория несколькими способами. Например, файл конфигурации локального клиента может быть инициализирован по IP-адресу или DNS-именам основного и дополнительного LDAP-серверов. Для указания места, где размещается необходимая информация или сервис, могут также использоваться дополнения сертификатов. Частное дополнение Authority Information Access (доступ к информации об УЦ) может применяться в качестве указателя на OCSP-респондер, связанный с издателем сертификата, а частное дополнение Subject Information Access (доступ к информации о субъекте) может содержать указатель на репозиторий УЦ, являющегося субъектом. Местонахождение информации об аннулированных сертификатах также указывается в дополнении сертификата CRL Distribution Points (пункты распространения САС).
Итак, к основным характеристикам репозитория можно отнести [10]:
* прозрачность местонахождения;
* производительность и доступность;
* анонимность и возможность аутентификации доступа;
* функциональную совместимость.
Прозрачность местонахождения репозитория. В одних случаях клиент обращается с запросом о необходимой информации к единственному серверу репозитория. Если данный сервер не хранит эту информацию, то от имени клиента обеспечивает ее поиск на других серверах, причем сложность операции поиска скрыта от клиента. В других случаях сервер просто передает клиенту указатель местонахождения необходимой информации. Если искомая информация не хранится локально, то клиент уведомляется сообщением протокола об ошибочности запроса к репозиторию.
Производительность и доступность. Иногда доверяющие стороны сталкиваются с запаздыванием ответа от сервера репозитория. Пока их запросы не обработаны, клиенты не могут пользоваться необходимыми сервисами безопасности. Для управления задержками необходимо обеспечивать масштабирование системы репозитория адекватно росту числа абонентов и частоте информационных запросов. Система репозитория должна быть спроектирована таким образом, чтобы его доступность была максимальной даже при отказе одного или нескольких компонентов.
Анонимность и возможность аутентификации доступа. В самой общей модели доступа репозиторий предоставляет информацию без аутентификации клиента. В этом случае расходы на поддержку репозитория являются частью издержек организации на развертывание PKI. Это характерно для бизнес-модели, в которой вложения в PKI осуществляются организацией, которая развернула инфраструктуру, или издержки закладываются в стоимость каждого выпущенного сертификата. Альтернативный подход заключается во взимании платы за доступ к репозиторию. В этом случае при обращении к репозиторию необходима идентификация и аутентификация каждого клиента. Такая бизнес-модель переносит издержки с владельцев сертификатов на доверяющие стороны.
Функциональная совместимость. Взаимодействие репозитория с удостоверяющими центрами, доверяющими сторонами и другими репозиториями невозможно без поддержки функциональной совместимости систем участников PKI.