PKI для гражданского общества

Основным инфраструктурным элементом защищенного электронного обмена информацией является система распределения открытых ключей - инфраструктура PKI.

И к вопросу обмена открытыми ключами может быть три подхода:

1. обмен ключами непосредственно между пользователями (личностями) - прямой обмен ключами «из рук в руки»,
2. система «паспортов», когда удостоверение связи открытого ключа и пользователя вменяется в обязанность уполномоченной организации, которой пользователи должны доверять - система Удостоверяющих Центров,
3. система общественных поручителей (когда пользователи подписывают открытые ключи других пользователей, <ручаясь> за его подлинность) - «сеть доверия».

В зависимости от того, для применения в каких именно системах предназначено то или иное криптографическое средство, в нем может быть реализован тот или иной принцип PKI. В ПСКЗИ ШИПКА как устройстве универсальном реализованы все три подхода к обмену открытыми ключами.

Мы можем вступать в коммуникацию в одной из трех ипостасей - как личность, как член гражданского общества или как гражданин государства. Эти коммуникации происходят по разным внутренним и внешним законам и, что важнее, с разными целями. Как личность я встречаюсь в кафе с друзьями, как гражданин государства я голосую на выборах, как член гражданского общества - посещаю массовые мероприятия, вступаю в клубы по интересам и пишу на профессиональных форумах в Интернете.

В сфере электронного информационного взаимодействия актуальны те же принципы - человек участвует в нем либо как личность, либо как член гражданского общества, либо как гражданин государства. Для построения взаимодействия каждого из этих типов логично применять разные инфраструктурные механизмы, в том числе и защитные.

Препятствий для применения криптографии «в быту» - несколько. Это и сложность самого применения тех или иных механизмов, и сложность настройки на применение криптографии стандартных приложений, от использования которых пользователи не собираются отказываться в пользу безопасности. Но хуже всего то, что предлагавшиеся до сих пор решения не учитывали социальных потребностей и задач пользователей. Можно считать, что нежелание предъявлять при входе в спортклуб паспорт, а не членскую карточку, - это каприз, а не разумное требование к инфраструктуре. Но тогда не надо удивляться, если не растет количество членов такого спортклуба.

В кругу друзей. Прямой обмен ключами

Для шифрования и подписи файлов на ключах, которыми пользователи обмениваются напрямую, лично, - предназначена программа из стандартного ПО ШИПКИ «Ключи: шифрование и подпись файлов». С ее помощью можно экспортировать открытый ключ в файл в формате, в котором он будет «понятен» только ШИПКЕ. После этого ключ можно импортировать из этого файла в ШИПКУ другого пользователя. Шифровать с помощью этой утилиты можно только на симметричных ключах. Соответственно, для того чтобы получатель файла смог его расшифровать, необходимо обменяться сессионными симметричными ключами. Экспортируются симметричные ключи из ШИПКИ в файл только в защищенном виде - зашифрованными на открытом ключе получателя. Зашифрованный сессионный ключ экспортируется в файл, формат которого «понятен» только ШИПКЕ и использоваться каким-либо другим устройством или программой он не может.

В госстурктурах. Цифровые сертификаты

Для работы с асимметричной криптографией в идеологии цифровых сертификатов предназначена другая утилита из ПО ШИПКИ: «Сертификаты: шифрование и подпись файлов». В ней можно создавать запрос на получение сертификата в УЦ, выписывать самоподписанные сертификаты, просматривать сертификаты, экспортировать/импортировать их. С помощью сертификатов в той же программе можно подписывать файлы и папки, проверять подписи, шифровать файлы и папки и расшифровывать их.

Также получать сертификаты с помощью ШИПКИ можно через web-интерфейсы УЦ или в центрах сертификации. Использовать сертификаты, полученные с помощью ШИПКИ можно во всех приложениях, работающих с сертификатами.

В гражданском обществе. Сеть доверия

В основе «сети доверия» лежит очень простая логика: когда человек вступает в коммуникацию как член гражданского общества, а не как гражданин государства или государственный чиновник, он не обязан включать в свою коммуникацию никакую организацию, даже уполномоченную государством. Поэтому удостоверять принадлежность открытого ключа человеку может другой человек, убежденный в этой принадлежности.

Эта система лежит в основе стандарта OpenPGP, на котором построена программа PGP (Pretty Good Privacy).

ПСКЗИ ШИПКА работает с программой PGP, и защищать таким образом можно, например, переписку по электронной почте в программе The BAT!. Однако PGP сложна в настройке и не работает с российскими алгоритмами.

Программа для работы с ШИПКОЙ в логике PGP, не требующая специальных навыков, называется Privacy. Она не входит в стандартное ПО ПСКЗИ ШИПКА, являясь отдельным продуктом. С помощью этой программы можно защищать ЭЦП или шифрованием переписку по электронной почте или ICQ, шифровать файлы на диске, создавать защищенные виртуальные диски и работать с ними, а также производить все необходимые для всего этого действия с ключами в идеологии сети доверия. То есть создавать пары и ключи, экспортировать/импортировать открытые ключи, подписывать открытые ключи и проверять подписи под ними, просматривать свойства ключей и пар, включая отпечатки (fingerprint'ы) и подключи, заменять подключи, если закрытый ключ был скомпрометирован.

При этом в настройки почтовых программ или программ ICQ никаких изменений вносить не нужно. Более того, Privacy «понимает» формат X509, и если один из абонентов предпочитает систему сертификатов - в этом нет проблемы.

Человек имеет право сам определять, в какой роли он выступает в каждом конкретном случае. В случае с инфраструктурой открытых ключей - ПСКЗИ ШИПКА предоставляет возможность выбора уместного и удобного способа взаимодействия.

Автор: Конявская С. В.

Дата публикации: 01.01.2009

Библиографическая ссылка: Конявская С. В. PKI для гражданского общества // Information Security/Информационная безопасность. М., 2009. № 6. С. 41.

---