SZAFIR

Ze względu na ewolucję systemu ELIXIR wzrost liczby transakcji w tym systemie, plany wdrożenia nowego rozwiązania ELIXIR-OK pracującego na platformie Windows, chęć wydłużenia stosowanych kluczy, jak również chęć przystosowania eksploatowanego rozwiązania do obowiązujących obecnie na świecie standardów z zakresu PKI (m.in. wykorzystanie nowego formatu certyfikatu X.509v3) KIR stanęła przed koniecznością zakupu nowego rozwiązania kryptograficznego. Dotychczas wykorzystywane urządzenia kryptograficzne firmy Racal nie współpracowały z systemem Windows (co uniemożliwiało ich wykorzystanie w systemie ELIXIR-OK), a także nie pozwalały na stosowanie klucza dłuższego niż 512 bitów.

Przyczyny te spowodowały zainicjowanie projektu SZAFIR, w ramach którego miała być stworzona nowa infrastruktura ośrodka certyfikacji kluczy - docelowo nie tylko na potrzeby systemów KIR, ale również z możliwością oferowania usług certyfikacji środowisku bankowo-finansowemu i innym zainteresowanym firmom.

Podstawowym problemem okazał się wybór rozwiązania, które spełniałoby surowe wymagania KIR. "Szukaliśmy przede wszystkim rozwiązania spełniającego obecnie obowiązujące standardy z dziedziny PKI, wykorzystującego do pracy urzędu certyfikacji urządzenia kryptograficzne, skalowanego i umożliwiającego dostosowanie go do naszych specyficznych potrzeb" - mówi Elżbieta Włodarczyk, analityk systemu SZAFIR z działu rozwoju KIR. Istotnym kryterium była możliwość modyfikacji funkcji oprogramowania (samodzielnego rozszerzania jego możliwości), jak również w pełni standardowa obsługa standardów PKCS#10 i X.509 w wersji 3.

"Jeszcze innym kryterium, podstawowym ze względu na fakt planowanego połączenia w przyszłości stworzonego przez nas ośrodka certyfikacji z innymi takimi ośrodkami, np. tworzonymi przez Związek Banków Polskich, była możliwość certyfikowania naszego urzędu w innych urzędach na zasadzie certyfikacji wzajemnej (cross- certification)" - wyjaśnia Elżbieta Włodarczyk. KIR-owi zależało również na gwarancji możliwości aktualizacji oprogramowania tak, by obsługiwało ono nowe algorytmy i funkcje skrótu, a także pozwalało na wydłużenie kluczy kryptograficznych. Istotny był również sposób zabezpieczenia komunikacji między ośrodkiem rejestracji, odpowiedzialnym za rejestracje subskrybentów, a ośrodkiem zarządzania kluczami.

"Produktem, który wybraliśmy i który spełniał większość postawionych przez nas kryteriów, jest UniCERT firmy Baltimore. Dużą dodatkową zaletą tego rozwiązania jest fakt, że ma ono pełne lokalne wsparcie" - mówi Elżbieta Włodarczyk. Integratorem wdrożenia była firma Softbank SA, podwykonawcą - CryptoTech.

Krytyczne usługi katalogowe

"Przy projektowaniu rozwiązania opieraliśmy się na rzeczywistych danych dotyczących liczby klientów systemu ELIXIR, liczbie podpisywanych przesyłek oraz dotychczasowych doświadczeniach związanych z kilkuletnim wykorzystaniem technologii klucza publicznego" - stwierdza Elżbieta Włodarczyk.

Podstawowy wpływ na szybkość pracy całego rozwiązania kryptograficznego ma wydajność serwerów usług katalogowych X.500, które stanowią repozytorium certyfikatów oraz list CRL (listy unieważnionych certyfikatów) wykorzystywanych przy podpisywaniu i szyfrowaniu przesyłek. KIR, która początkowo myślała o wykorzystaniu zewnętrznego serwera usług katalogowych X.500, ostatecznie ze względów wydajności i bezpieczeństwa zdecydowała się zainstalować taki serwer u siebie. "Wybraliśmy produkt Global Directory Server opracowany przez firmę Isocor (obecnie Critical Path). Współpracuje on w pełni z programem UniCERT. Komunikacja między nimi może się odbywać z wykorzystaniem protokołu LDAP lub DAP" - mówi Elżbieta Włodarczyk.