Подготовка к развертыванию PKI

Определение масштаба и сферы применения PKI

Правильное определение сферы применения является предпосылкой успешного проектирования PKI. Как правило, чем шире назначение PKI, тем уже спектр свойств и возможностей, которые доступны ее пользователям. PKI может быть предназначена для пользователей:

1. массового рынка;
2. интрасети;
3. экстрасети.

Массовый рынок предполагает использование PKI множеством разобщенных, удаленных пользователей, работающих на компьютерах разных моделей, например, клиентов Интернет-банкинга. В этом случае возможен (если вообще возможен) лишь минимальный контроль за компьютерами пользователей. Пользователи становятся клиентами корневого УЦ открытой иерархии, имеющего свой web-сайт, и взаимодействуют с ним через интерфейс браузера.

Корпоративные пользователи часто принадлежат к одной организации. Это дает возможность поддерживать более унифицированную среду для клиентских мест и позволяет иметь некоторый контроль над действиями пользователей. В этом случае развертывание PKI в зависимости от ее масштаба может осуществляться на базе и частных, и открытых иерархий. Кроме того, пользователи получают возможность управлять сертификатами при помощи соответствующих клиентских приложений; такими функциями, например, обладает клиентское программное обеспечение двух ведущих поставщиков услуг PKI - компаний Entrust [214] и VeriSign [220].

Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляют деловым партнерам и другим группам пользователей. Доступ деловых партнеров к информации, хранящейся во внутренней корпоративной сети, обеспечивает экстрасеть. Поскольку клиентские места пользователей экстрасети невозможно контролировать в той же мере, что и компьютеры служащих компании, подход к этому сообществу должен быть аналогичен тому, который предлагается для массового рынка. Но очевидно, что количество пользователей экстрасети намного меньше, поэтому PKI может быть реализована как в виде открытой, так и в виде частной иерархии, дополненной системой однократной регистрации или другими системами контроля.

Возможны самые разные варианты использования PKI. В масштабе страны может быть развернута федеральная PKI, обеспечивающая контакты между правительственными учреждениями и всеми гражданами посредством сертификатов и цифровых подписей. Отдельная компания может использовать персональные сертификаты на смарт-картах для управления доступом штатных сотрудников в помещения и к компьютерным системам и приложениям. При помощи персональных сертификатов Интернет-магазин может аутентифицировать клиентов, заказывающих товар. В финансовой сфере PKI может использоваться в системе банковских расчетов для перевода денег корпоративным клиентам и операций по аккредитивам.

В таблице 18.2: 1 приводится перечень возможных сфер применения и приложений PKI, сформированный международным объединением пользователей и поставщиков услуг и программных продуктов в области инфраструктур открытых ключей (PKI Форум) [86].

В зависимости от назначения и масштаба PKI ее конечными субъектами или пользователями могут выступать граждане страны, клиенты, ИТ-штат или весь персонал организации, деловые партнеры или другие компании.

При задании сферы применения PKI необходимо определить уровень взаимодействия участников системы (международный, межкорпоративный, корпоративный, между несколькими подразделениями компании и т.п.).

На предварительном этапе чрезвычайно важно выявить проблемы взаимодействия и функциональной совместимости инфраструктуры с другими PKI и таким образом очертить круг сторон, вовлекаемых в процесс развертывания PKI. В домен доверия PKI не входят индивидуумы или организации, не включенные в сферу применения инфраструктуры. По мере функционирования PKI сфера применения может быть пересмотрена и дополнена новыми типами пользователей.