В рубрику "Исследование" | К списку рубрик | К списку авторов | К списку публикаций
Результаты исследования "Криптографические сервисы ИБ на основе инфраструктуры открытых ключей (PKI)"
Борис Борисенко,
эксперт
Результаты исследования, проведенного компанией "Гротек" и посвященного практике использования средств криптографической защиты информации (СКЗИ), с одной стороны, согласуются с выводами специалистов в области криптографии по ряду вопросов, а с другой стороны, позволяют обнажить глобальные проблемы, требующие дальнейших обсуждений
Несмотря на то что "львиная доля" вопросов исследования касалась именно инфраструктуры управления открытыми ключами PKI, результаты настоящего опроса можно проецировать практически на все СКЗИ.
Отношение компаний к криптосредствам
В половине случаев в организациях уже применяется инфраструктура PKI (рис. 1), в основном, для обеспечения подлинности электронных документов, конфиденциальности и целостности данных, а также для решения задач аутентификации. При этом 34,1% респондентов планируют использовать PKI, что говорит о большом росте интереса к криптосредствам. Хотелось бы, чтобы подобные планы все-таки воплотились в реальность, а не остались в "думах" руководства или тем более не "легли под сукно". На реализацию таких планов, конечно, придется потратить приличные суммы денег, но в итоге в выигрыше окажутся и сами компании, и их деловые партнеры.
Отрадно, что большинство компаний переходит на сертифицированные продукты. Среди ответов на вопрос об используемых в компаниях аппаратных устройствах для поддержки PKI (рис. 2) в первые три пункта входят сертифицированные средства хранения данных (USB-токены и Smart-карты). Так, сертифицированные USB-токены применяются более чем в 50% организаций-респондентов. Это говорит и о том, что компании сейчас предпочитают обеспечение технической поддержки применяемых аппаратных средств, более надежного хранения и юридической значимости электронного документооборота. Несертифицированные устройства замыкают список, хотя и с довольно внушительными результатами 20–25%. Безусловно, нельзя не отметить, что почти половина респондентов все-таки использует "по-старинке" дискеты и компакт-диски.
Особенности применения и преимущества PKI
Бесспорно, в чистом виде средства PKI несут основную нагрузку в сфере электронного документооборота. Более 80% опрошенных подтвердили это мнение, определив соответствующую картину ответов на вопрос о наиболее важных областях применения PKI (рис. 3). Существенная часть респондентов (69,9%) видит инфраструктуру PKI неотъемлемой частью аутентифицирующей составляющей компьютерной системы. Приятно удивили 34,2% в графе "Электронная коммерция" и 11% – в "Безопасности удаленного вызова процедур". Первое лишний раз показывает: с огромным ростом количества Интернет-магазинов и использования электронных денег к потребителям пришло понимание того, что операции, совершаемые с таковыми, требуют надежной защиты.
По ответам на вопрос о наиболее важных преимуществах использования технологии открытых ключей (рис. 4) можно судить об актуальности средств PKI в тех или иных областях защиты информации. Опять на первое место выходят системы электронного документооборота (СЭД), а точнее, их юридическая значимость (60,3%). Пользователи давно признали достоинства СЭД и теперь высоко ценят возможность реализации и активного использования именно юридически значимого электронного документооборота.
Вторым по популярности ответом о преимуществах технологии открытых ключей является "Высокий уровень безопасности" (более половины опрошенных). Чуть больше половины респондентов также отметили легальность формирования электронной цифровой подписи (ЭЦП). Получается, что после осознания необходимости юридического признания СЭД, для того чтобы в случае инцидента между компаниями убытки пострадавшей стороны были возмещены, требуется понимание важности применения соответствующих российскому законодательству средств ЭЦП. И технологии открытых ключей предоставляют такую возможность. С точки зрения возникновения новых направлений коммерческой деятельности представляется также интересным признание 43,8% респондентами возможности создания новых электронных бизнес-процессов.
Проблемы управления ключами шифрования
Наряду с преимуществами использования криптографических средств в государственных и коммерческих организациях возникает и ряд проблем реализации данных средств в компьютерных системах. И проблемы эти действительно серьезны и многогранны, о чем свидетельствует большой процент в каждом из вариантов ответов на вопрос, представленный на рис. 5. Самая серьезная проблема, по мнению автора (и с ним соглашаются 57,5% опрошенных), заключается в неорганизованности персонала при хранении ключевой информации. Из-за халатности сотрудников (нередки случаи, когда на рабочем столе на самом видном месте возле клавиатуры рабочего компьютера лежит компакт-диск с надписью "Закрытый ключ для…") актуальность применения стойких криптосистем резко падает. Треть респондентов недовольна существованием копий закрытого ключа, а пятая часть считает, что в таких системах длина ключа слишком мала.
О многогранности проблем реализации криптографических средств в компьютерных системах свидетельствует большое количество вариантов в ответе "Другое". К ним относятся человеческий фактор во всех его проявлениях, различного рода неудобства, незащищенность компьютерных сетей во время передачи ключевой информации, недостаточная совместимость приложений с государственными стандартами, нечеткое описание правил пользования от разработчика программного обеспечения, вынужденность разработчика "крутиться" вокруг ГОСТа и т.п.
Кроме всего вышеперечисленного, о серьезности задач реализации инфраструктуры PKI говорит и следующее: не менее 20% респондентов отметили хотя бы один из возможных наиболее значимых рисков использования технологии открытых ключей (рис. 6). Главным же образом удручает тот факт, что большинство опрошенных указало несовершенство носителей с точки зрения поломки, а не криптостойкости или защищенности системы. Что касается выявления уязвимостей алгоритма шифрования и ЭЦП (33,8%), то в этом случае, наверное, разработчикам следует за свой счет отозвать, переделать и установить соответствующие программные и/или аппаратные средства.
Что это такое и для чего нужно
Обратимся к факторам, препятствующим распространению PKI (рис. 7). Картина ответов на диаграмме позволяет сделать вывод о том, что все-таки в первую очередь нужно нести в массы актуальность использования СКЗИ, популярно объяснять, что это такое и для чего нужно. В графе "Сложность интеграции программных решений PKI в существующую IT-систему" 42% респондентов отметили то, что необходимость применения и реализацию средств PKI стоит продумывать на этапе разработки компьютерной системы и политики безопасности.
Следующий показатель (освоение конечными пользователями решений PKI) только подтверждает замечания, указанные в прошлом номере журнала в статье "Проблемы выбора и внедрения систем автоматизации делопроизводства" и в комментарии к ней. Треть пользователей отмечает несовершенство законодательства и прочие юридические нюансы. Стоит упомянуть пункт, связанный со стоимостью средств PKI, так как 29% респондентов считают цену продуктов PKI и их эксплуатацию завышенной.
Радужные перспективы и вечные "но"
Радует, что большая часть опрошенных верят в то, что в ближайшие 2–3 года отечественные компании все же осознают необходимость использования технологии открытых ключей (рис. 8), а 32,4% респондентов поймут это в течение ближайших 5 лет. Такие перспективы были бы более, чем радужными, если бы не одно "но". Вернемся к диаграмме на рис. 1. Возникает следующая ассоциация: те, кто уже использует средства PKI, отвечают, что остальные российские компании начнут применять данные технологии в скором будущем; те, кто планирует, отводят на это указанные выше 5 лет; ну, а уж считающие криптографические средства вовсе нерентабельными думают, что и пяти лет не хватит.
Из диаграммы на рис. 9 видно, что в России информационным технологиям и технологиям информационной безопасности предстоит еще долгий путь развития. Около 20% опрошенных считает, что, даже принимая во внимание весьма долгое присутствие на российском рынке средств ЭЦП, ощущается недостаток в "пиаре" упомянутых технологий, тем более со стороны широко известных компаний. Примерно такое же количество респондентов ждет инициатив от законодательной ветви власти, в первую очередь, конечно, новый закон об ЭЦП. Те же почти 20% надеются на стабилизацию системы удостоверяющих центров (УЦ). Учитывая, что в России сейчас сертифицировано множество УЦ, а соответствия алгоритмов создания ЭЦП между ними зачастую не существует, данная проблема действительно является тормозящим фактором в развитии инфраструктуры PKI. Несмотря на довольно высокую озабоченность респондентов по поводу стоимости PKI-продуктов, всего 9% ждут активизации в области технологий открытых ключей за счет появления более доступных решений для организации PKI.
Половина опрошенных не считает достаточным внимание, уделяемое в настоящее время вопросам технологий открытых ключей на специализированных мероприятиях (рис. 10). С учетом этого, а также прочих результатов опроса, проанализированных выше, сами собой напрашиваются основные направления развития и расширения применения инфраструктуры PKI.
Безусловно, следует не забывать о том, что несертифицированные криптографические средства хотя и не рекомендуются, но могут применяться (правда, без полной юридической значимости) только в коммерческих организациях. При работе с государственными учреждениями по существующему российскому законодательству должны использоваться только сертифицированные средства PKI.
Помощь государства в регулировании
В настоящее время функции уполномоченного федерального органа в области ЭЦП возложены на Федеральное агентство по информационным технологиям – Росинформтехнологии (Постановление Правительства РФ № 319 от 30.06.2004 г.). В соответствии со статьей 10 ФЗ "Об ЭЦП" Росинформтехнологии публикует предоставляемые сертификаты в едином государственном реестре сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, и обеспечивает возможность свободного доступа к этому реестру (www.reestr-pki.ru).
Для выполнения функций уполномоченного федерального органа исполнительной власти в области ЭЦП в Росинформтехнологии создан удостоверяющий центр, реализованный на основе типового доверенного программного комплекса "Стандарт УЦ" и сертифицированный ФСБ России.
Таким образом, в целях развития и успешного функционирования сервисов PKI в Российской Федерации целесообразно в существующих и разрабатываемых решениях в данной области обеспечивать совместимость по форматам представления сертификатов ключей подписи (и информации об их статусе), а также совместимость по форматам и значениям параметров алгоритмов формирования и проверки ЭЦП.-
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2007