Механизмы распространения информации PKI

Поддержка системы доменных имен

Одной из наиболее удачных распределенных информационно-поисковых систем является система доменных имен (DNS) Интернета. Система DNS описывается в документах RFC 1034 [132] и RFC 1035 [133]. Документ RFC 1035 утверждает, что целью доменных имен является обеспечение такого механизма именования, чтобы имена могли использоваться разными хостами, локальными и глобальными сетями, семействами протоколов и организациями. Система DNS обеспечила реализацию этих целей, и исследователи постоянно ищут новые способы совершенствования ее возможностей.

Ведется много дискуссий о возможном использовании системы DNS для унификации многих разрозненных каталогов и разработке соответствующих протоколов доступа в помощь клиентам. Эта концепция требует новых типов данных, идентифицирующих репозиторий некоторого домена, а не предполагает использования системы DNS для транспортировки сертификатов и списков САС. Пусть, например, клиент обрабатывает сообщение электронной почты от домена alpha.com. Он должен создать запрос к системе DNS. Если бы в ответе указывался общий репозиторий для PKI компании "Альфа", это позволило бы упростить сертификаты, исключив из них указатели на местонахождение репозитория. Тогда можно было бы менять протоколы доступа к репозиторию PKI без повторного выпуска сертификатов. Эта идея пока не реализована, но организация IETF в качестве эксперимента начала процесс стандартизации данного подхода.

Рекомендации по выбору типа репозитория

Поскольку не существует универсального решения для любой ситуации, при развертывании PKI и выборе типа репозитория каждая организация должна ориентироваться на собственные потребности и возможности. Очевидно, что должно поддерживаться столько протоколов, сколько необходимо для обслуживания всех имеющихся клиентов и приложений, и использоваться столько репозиториев, сколько требуется для удовлетворения потребностей всех сообществ пользователей данного домена.

Пока наиболее практичным решением для организации репозитория PKI является каталог. Каталог X.500 с LDAP обеспечивает максимум масштабируемости и функциональной совместимости. Прозрачность местонахождения упрощает работу клиентов. В случае усложнения PKI и появления необходимости обмениваться кросс-сертификатами с другими PKI, которые поддерживают стандарт X.500, клиенты непрерывно будут иметь доступ ко всем необходимым сертификатам. Каталог X.500 поддерживает аутентифицируемый доступ, обеспечивая бизнес-модель возмещения затрат при обслуживании запросов доверяющих сторон к репозиторию. Но следует учитывать, что процесс аутентификации доступа к общедоступным данным снижает производительность системы. Небольшие изолированные PKI могут применять каталог LDAP v2. В настоящее время используются каталоги LDAP v3, предоставляющие более гибкие возможности для крупномасштабных PKI.

Если организация развертывает частную PKI, разумным решением может быть использование отдельно HTTP- или FTP- репозитория. Но пока большинство программных продуктов PKI не поддерживают доступ к корпоративным репозитория м по протоколам HTTP или FTP, функциональная совместимость с внешними пользователями будет ограничена. Эта проблема может быть решена путем организации пограничного каталога. Лучшая стратегия заключается в реализации частного каталога как начального шага в двухшаговом процессе публикации. Этот каталог может использоваться и как пограничный каталог для достижения функциональной совместимости с внешними PKI. Пограничный каталог - это наиболее простой механизм разделения корпоративной информации с внешним миром при защите необходимых ресурсов.

Наконец, можно дать две самых общих рекомендации относительно репозитория вне зависимости от поддерживаемых протоколов доступа к нему. Во-первых, организации не следует создавать отдельный репозиторий для поддержки PKI помимо уже имеющегося корпоративного репозитория, а во-вторых, не следует использовать мощные средства защиты репозитория, если в этом нет реальной необходимости, поскольку поддержка функционирования защищенной системы всегда более сложна.

Итак, мы проанализировали различные методы распространения сертификатов и информации об аннулированных сертификатах и варианты использования репозитория, обсудили ряд альтернатив развертывания, когда PKI-информация разделяется между двумя или более взаимодействующими доменами PKI. В связи с быстрым ростом количества пользователей PKI до десятков тысяч, сотен тысяч и даже миллионов существенно возрастает важность своевременного и надежного распространения PKI-информации. Это одно из наиболее фундаментальных требований успешного развертывания любой крупномасштабной PKI.