поиск по сайту
PKI для гражданского общества

С. В. Конявская, к. ф. н., ЗАО «ОКБ САПР»

PKI для гражданского общества

Основным инфраструктурным элементом защищенного электронного обмена информацией является система распределения открытых ключей - инфраструктура PKI.

И к вопросу обмена открытыми ключами может быть три подхода:

  1. обмен ключами непосредственно между пользователями (личностями) - прямой обмен ключами «из рук в руки»,
  2. система «паспортов», когда удостоверение связи открытого ключа и пользователя вменяется в обязанность уполномоченной организации, которой пользователи должны доверять - система Удостоверяющих Центров,
  3. система общественных поручителей (когда пользователи подписывают открытые ключи других пользователей, <ручаясь> за его подлинность) - «сеть доверия».

В зависимости от того, для применения в каких именно системах предназначено то или иное криптографическое средство, в нем может быть реализован тот или иной принцип PKI. В ПСКЗИ ШИПКА как устройстве универсальном реализованы все три подхода к обмену открытыми ключами.

Мы можем вступать в коммуникацию в одной из трех ипостасей - как личность, как член гражданского общества или как гражданин государства. Эти коммуникации происходят по разным внутренним и внешним законам и, что важнее, с разными целями. Как личность я встречаюсь в кафе с друзьями, как гражданин государства я голосую на выборах, как член гражданского общества - посещаю массовые мероприятия, вступаю в клубы по интересам и пишу на профессиональных форумах в Интернете.

В сфере электронного информационного взаимодействия актуальны те же принципы - человек участвует в нем либо как личность, либо как член гражданского общества, либо как гражданин государства. Для построения взаимодействия каждого из этих типов логично применять разные инфраструктурные механизмы, в том числе и защитные.

Препятствий для применения криптографии «в быту» - несколько. Это и сложность самого применения тех или иных механизмов, и сложность настройки на применение криптографии стандартных приложений, от использования которых пользователи не собираются отказываться в пользу безопасности. Но хуже всего то, что предлагавшиеся до сих пор решения не учитывали социальных потребностей и задач пользователей. Можно считать, что нежелание предъявлять при входе в спортклуб паспорт, а не членскую карточку, - это каприз, а не разумное требование к инфраструктуре. Но тогда не надо удивляться, если не растет количество членов такого спортклуба.

В кругу друзей. Прямой обмен ключами

Для шифрования и подписи файлов на ключах, которыми пользователи обмениваются напрямую, лично, - предназначена программа из стандартного ПО ШИПКИ «Ключи: шифрование и подпись файлов». С ее помощью можно экспортировать открытый ключ в файл в формате, в котором он будет «понятен» только ШИПКЕ. После этого ключ можно импортировать из этого файла в ШИПКУ другого пользователя. Шифровать с помощью этой утилиты можно только на симметричных ключах. Соответственно, для того чтобы получатель файла смог его расшифровать, необходимо обменяться сессионными симметричными ключами. Экспортируются симметричные ключи из ШИПКИ в файл только в защищенном виде - зашифрованными на открытом ключе получателя. Зашифрованный сессионный ключ экспортируется в файл, формат которого «понятен» только ШИПКЕ и использоваться каким-либо другим устройством или программой он не может.

В госстурктурах. Цифровые сертификаты

Для работы с асимметричной криптографией в идеологии цифровых сертификатов предназначена другая утилита из ПО ШИПКИ: «Сертификаты: шифрование и подпись файлов». В ней можно создавать запрос на получение сертификата в УЦ, выписывать самоподписанные сертификаты, просматривать сертификаты, экспортировать/импортировать их. С помощью сертификатов в той же программе можно подписывать файлы и папки, проверять подписи, шифровать файлы и папки и расшифровывать их.

Также получать сертификаты с помощью ШИПКИ можно через web-интерфейсы УЦ или в центрах сертификации. Использовать сертификаты, полученные с помощью ШИПКИ можно во всех приложениях, работающих с сертификатами.

В гражданском обществе. Сеть доверия

В основе «сети доверия» лежит очень простая логика: когда человек вступает в коммуникацию как член гражданского общества, а не как гражданин государства или государственный чиновник, он не обязан включать в свою коммуникацию никакую организацию, даже уполномоченную государством. Поэтому удостоверять принадлежность открытого ключа человеку может другой человек, убежденный в этой принадлежности.

Эта система лежит в основе стандарта OpenPGP, на котором построена программа PGP (Pretty Good Privacy).

ПСКЗИ ШИПКА работает с программой PGP, и защищать таким образом можно, например, переписку по электронной почте в программе The BAT!. Однако PGP сложна в настройке и не работает с российскими алгоритмами.

Программа для работы с ШИПКОЙ в логике PGP, не требующая специальных навыков, называется Privacy. Она не входит в стандартное ПО ПСКЗИ ШИПКА, являясь отдельным продуктом. С помощью этой программы можно защищать ЭЦП или шифрованием переписку по электронной почте или ICQ, шифровать файлы на диске, создавать защищенные виртуальные диски и работать с ними, а также производить все необходимые для всего этого действия с ключами в идеологии сети доверия. То есть создавать пары и ключи, экспортировать/импортировать открытые ключи, подписывать открытые ключи и проверять подписи под ними, просматривать свойства ключей и пар, включая отпечатки (fingerprint'ы) и подключи, заменять подключи, если закрытый ключ был скомпрометирован.

При этом в настройки почтовых программ или программ ICQ никаких изменений вносить не нужно. Более того, Privacy «понимает» формат X509, и если один из абонентов предпочитает систему сертификатов - в этом нет проблемы.

Человек имеет право сам определять, в какой роли он выступает в каждом конкретном случае. В случае с инфраструктурой открытых ключей - ПСКЗИ ШИПКА предоставляет возможность выбора уместного и удобного способа взаимодействия.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них