Narzędzia certyfikacji przesyłek

Gdy wysyłamy poufne dane przez Internet, nie chcemy, by było to elektronicznym odpowiednikiem „randki w ciemno”, gdzie nie można określić, kto jest po drugiej stronie. Korzystamy więc z usług "swata", dzięki któremu możemy mieć pewność, że łączymy się z odpowiednimi ludźmi.

Gdy wysyłamy poufne dane przez Internet, nie chcemy, by było to elektronicznym odpowiednikiem „randki w ciemno”, gdzie nie można określić, kto jest po drugiej stronie. Korzystamy więc z usług "swata", dzięki któremu możemy mieć pewność, że łączymy się z odpowiednimi ludźmi.

Pewność tę możemy uzyskać dzięki programom pełniącymi rolę „instytucji certyfikującej” (Certificate Authority – CA). Umożliwiają one wydawanie i zatwierdzanie cyfrowych certyfikatów X.509, które są używane łącznie z technologią szyfrowania. Zabezpieczają dane przesyłane między osobami, które wyraziły na to zgodę. Rozwiązania wykorzystywane przez te programy są często objęte licencjami eksportowymi, niemniej warto znać ich możliwości.

Dzięki certyfikatom znika możliwość podszycia się pod kogoś przy użyciu fałszywego klucza. Serwery CA wydają, przechowują i zatwierdzają certyfikaty w sposób bezpieczny.

W przypadku wszystkich prezentowanych programów wystarczy zapoznanie się z koncepcją cyfrowych certyfikatów, aby nie mieć żadnych trudności z instalacją i konfiguracją serwera CA w prywatnej sieci. Produkt WebCA firmy Entrust zyskał uznanie dzięki prostocie instalacji, dobremu interfejsowi, niskiej cenie i wysokiej skalowalności. Jednak produkty konkurencyjne nie ustępują mu. Jeśli mamy zarządzać dużą liczbą certyfikatów, a nie zniechęca nas nieciekawa procedura instalacyjna, dobrym wyborem będzie Certificate Server firmy Netscape. Sentry CA firmy Xcert oraz e-Cert firmy Frontier Technologies również mają zalety, lecz mogą je docenić tylko pracownicy ośrodków używających przede wszystkim systemów unixowych albo produktów Microsoftu.

WebCA firmy Entrust

WebCA był jednym z pierwszych na rynku serwerów CA przeznaczonych głównie dla przedsiębiorstw. Stosowana w WebCA weryfikacja skrośna pozwala jednemu serwerowi CA poświadczyć certyfikaty zapisane na innych. Dzięki niewielkiej cenie - 500 USD za 500 certyfikatów - małe i średnie firmy mogą wprowadzić zabezpieczenia, jakie są stosowane w dużych przedsiębiorstwach.

WebCA to produkt atrakcyjny z uwagi na współoperatywność. Liczące się firmy - takie jak IBM, Novell i Hewlett-Packard - tworzą własne aplikacje, które używają certyfikatów WebCA. Nawet firma Netscape, mimo że ma własny, konkurencyjny serwer CA, oferuje Communicatora w wersji 4.0 z przeglądarką, która potrafi porozumiewać się z WebCA. Serwer ten działa w systemie Windows NT 3.51 lub wyższym i współpracuje z każdym serwerem WWW działającym w systemie NT, który obsługuje SSL (Secure Sockets Layer), w tym również z Internet Information Server (IIS) Microsoftu oraz Enterprise Server Netscape’a. Niewątpliwie zaletą dla administratorów okaże się łatwa procedura instalacyjna programu.

WebCA wyposażono w Entrust/Directory - bazę danych zgodną z prostym protokołem dostępu do katalogów (LDAP), która służy do przechowywania certyfikatów maksymalnie pięciu tysięcy użytkowników (przypadających na jeden serwer) i zarządzania tymi certyfikatami. Jeśli potrzebujemy większej liczby certyfikatów, WebCA oferuje tzw. haki (hooks) do większych katalogów X.500.

Wraz z programem oferowany jest przykładowy formularz zgłoszenia certyfikatu, skrypty CGI oraz strony w formacie HTML; wszystko to można dostosować do własnych potrzeb. W zależności od prawa dostępu i daty ważności, można wydać dowolną liczbę typów certyfikatów. WebCA może wczytywać użytkowników z istniejącego katalogu albo na bieżąco przyjmować od indywidualnych użytkowników zgłoszenia wydania certyfikatu. Administratorzy WebCA, używając prostego w obsłudze interfejsu zbudowanego na bazie przeglądarki, mogą jednocześnie dodawać, unieważniać lub kasować zgłoszenia wielu użytkowników, zmieniać właściwości certyfikatów (także datę ważności) oraz dodawać i usuwać innych administratorów.

Użytkownicy, którzy potrzebują certyfikatów dla swoich przeglądarek, mogą połączyć się z WebCA w sieci WWW poprzez stronę, która umożliwia przedstawienie administratorowi ośrodka prośby o wydanie certyfikatu.

Większość pakietów CA odpowiada na zgłoszenie wydania certyfikatu w ten sposób, że przesyła pocztą elektroniczną wiadomość, zawierającą łącze do strony WWW, na której użytkownik może otrzymać certyfikat. Za pośrednictwem WebCA użytkownicy mogą pobierać certyfikaty z katalogu LDAP. Jedyną wadą WebCA jest to, że nie oferuje on automatycznej akceptacji określonego typu zgłoszeń wydania certyfikatu. Bez tej funkcji administratorzy muszą zawsze przyjąć zgłoszenie wydania certyfikatu, co może być przyczyną opóźnień w ośrodkach obsługujących dużą liczbę użytkowników.

Sentry CA 1.2 firmy Xcert

W porównaniu z produktami konkurencji, instalacja Sentry CA 1.2 firmy Xcert jest prosta. Na komputerze SPARC 5 firmy Sun Microsystems z systemem Solaris 2.5.1 rozpakowanie pliku dystrybucyjnego, uruchomienie skryptu instalacyjnego i przeprowadzenie konfiguracji programu trwa niecałe 15 minut. Program Sentry CA jest zgodny z popularnym serwerem WWW Apache, pod warunkiem że zostanie uruchomiony moduł Stronghold firmy C2 Net, obsługujący bezpieczne transakcje. Wraz z Sentry CA dołączany jest pakiet serwera Apache w całości. Niestety, firma Xcert nie dysponuje jeszcze Sentry CA w formie wstawki do Enterprise Servera firmy Netscape lub Microsoft IIS.

Sentry CA ma duże możliwości. Dzięki zastosowaniu protokołu LDAP program pozwala na weryfikację skośną certyfikatów wydawanych przez niezależne instytucje. Oznacza to możliwość akceptowania i przetwarzania certyfikatów innych serwerów CA we własnej sieci lokalnej. Są moduły listy kontroli dostępu ACL (Access Control List), dzięki którym można uwzględnić certyfikat użytkownika przy przyznawaniu lub odmawianiu dostępu do różnych zasobów. Można szybko tworzyć kilka obiektów ACL ograniczających dostęp do różnych katalogów w serwerze WWW w zależności od nazwy instytucji wydającej certyfikaty. Sentry CA obsługuje urządzenia zgodne z PKCS (Public Key Cryptography Standards) #11, co jest ważne dla wszystkich, którzy są zainteresowani wykorzystaniem tego typu urządzeń zabezpieczających, np. czytników kart procesorowych.

Tak samo jak w produktach konkurencyjnych, obsługa Sentry CA odbywa się poprzez standardową przeglądarkę WWW. Za pomocą formularzy dostarczonych wraz z produktem użytkownicy mogą wysyłać zgłoszenia wydania certyfikatu, a administratorzy zatwierdzać je i przesyłać odpowiedzi w formie wiadomości elektronicznych.

Zgłoszenia wydania certyfikatu mogą być przetwarzane automatycznie, bez konieczności interwencji administratora, co jest znacznym ułatwieniem dla ośrodków obsługujących dużą liczbę zgłoszeń.

Dysponując Sentry CA, nie można samodzielnie tworzyć certyfikatów. Należy kupić je od niezależnej firmy, co zwiększa koszt inwestycji. Interfejs programowania Xcert Universal Data (XUDA) w Sentry CA ma wiele funkcji. Zawiera nie tylko elastyczną bazę danych służącą do zapisywania certyfikatów, lecz także zestaw programów narzędziowych, wykorzystywanych do tworzenia aplikacji wymagających certyfikatów z kluczem publicznym, transakcji SSL i bezpiecznego dostępu do baz danych.

Certificate Server firmy Netscape

Produkt Netscape stanowi atrakcyjną ofertę, chociaż nie ma on wszystkich funkcji, jakimi dysponuje Sentry CA, ani też możliwości zastosowania w przedsiębiorstwach i udoskonalonego interfejsu, czym z kolei charakteryzuje się program WebCA. Podobnie jak inne serwery Netscape, Certificate Server działa w systemie Windows NT i kilku wariantach Unixa, przez co na pewno nie będzie problemów z zastosowaniem go w sieci.

Certificate Server obsługuje maksymalnie 10 tys. certyfikatów dla jednego serwera. Oferowany jest jako część SuiteSpot Professional Edition firmy Netscape, klient ma więc gwarancję dobrej integracji z innymi produktami tej firmy.

Najmocniejszym atutem produktu jest sposób jego obsługi - podobny jak w przeglądarce. Chociaż obsługa nie jest tak prosta, jak w przypadku WebCA, dzięki pośrednictwu prostych formularzy zintegrowanych z produktem można dokonać konfiguracji większości aspektów działania serwera. Certyfikat udostępniający prawa administratora pozwala wykorzystać warstwę gniazd do zarejestrowania się w Certificate Serverze, a następnie tworzyć własne reguły nadawania, unieważniania i wyszukiwania certyfikatów.

Podając się za użytkownika, przesłaliśmy zgłoszenie wydania certyfikatu osobistego i serwera, wypełniając formularze, które umieściliśmy w kolejce administracyjnej do zatwierdzenia. Oba typy otrzymanych w ten sposób certyfikatów działały w najnowszych wersjach Navigatora i Internet Explorera; wystarczyło jedynie skonfigurować przeglądarkę do pracy w środowisku bezpiecznym.

Wraz z Certificate Serverem oferowany jest serwer Online Workgroup firmy Informix Software, służący do przechowywania certyfikatów i zarządzania nimi. W bazie danych zapisywane są również informacje o certyfikacie, w tym również o tym, kiedy powstał, kto go podpisał i kiedy został unieważniony.

W przypadku obsługi katalogów LDAP, Certificate Server ma bezpośredni dostęp do Directory Servera firmy Netscape, dzięki czemu możemy umieszczać certyfikaty i listy unieważnionych certyfikatów w katalogach LDAP.

Produkt firmy Netscape cechuje niezbyt dobra procedura instalacyjna. Proces ten, działający częściowo jako kreator instalacyjny, częściowo zaś z wiersza poleceń, stanowi mieszaninę.

Natomiast instalacja programu e-Cert 1.1 firmy Frontier na komputerze z Windows NT Serverem 4.0 okazała się nieco łatwiejsza dzięki kreatorowi instalacyjnemu. E-Cert - jeden z trzech produktów zabezpieczających firmy Frontier, należących do wspólnej serii e-Lock. e-Cert - służy do wydawania certyfikatów i zarządzania nimi, e-Sign cyfrowo podpisuje dowolny typ pliku, a e-Mail koduje i cyfrowo podpisuje pocztę elektroniczną poprzez bezpieczny protokół MIME (S/MIME). Inne testowane serwery CA obsługują produkty podobne do e-Sign i e-Mail, lecz tylko firma Frontier włączyła je do pakietu serwera CA.

E-Cert to jeden z niewielu pakietów CA, który obsługuje bazy danych z zapisem wielu certyfikatów. Można wybrać dowolny system zarządzania bazą danych zgodny z ODBC (Open Database Connectivity); w większości przypadków będzie to dowolny komercyjny system zarządzania bazą danych standardu SQL bądź katalog LDAP. Aby ułatwić procedurę instalacyjną, w produkcie tym wykorzystano koncepcję kreatora opracowaną przez Microsoft. Frontier ponadto dołącza kilka przykładowych programów, m.in. program, który za pośrednictwem przeglądarki WWW automatycznie wydaje certyfikaty i przesyła je do użytkownika.

E-Cert jest prosty w obsłudze i odznacza się zgodnością ze standardami branżowymi, np. z PKCS. Niestety, brak w nim kilku przydatnych funkcji - nie ma prostego sposobu wydawania certyfikatów użytkownikom. Plik zgłoszenia wydania certyfikatu stworzony przez użytkownika bądź certyfikat pochodzący z publicznego serwera CA musi być ręcznie przeniesiony do serwera e-Cert poprzez wczytanie z dysku lub skopiowanie w sieci z innej maszyny. Następnie administrator musi wczytać zgłoszenie, sprawdzić je i dopiero wówczas zdecydować, co z nim począć.

Kolejną niedogodnością jest duża zależność e-Cert od serwera IIS i przeglądarki Internet Explorer. Mając dużo produktów unixowych lub pochodzących z firmy Netscape, lepiej poszukać innego rozwiązania.

(Tłum. BTInfo, R. Chodasz)