eTrust PKI

eTrust PKI вооружает ваше предприятие системой безопасного доступа мирового класса, которая удовлетворяет постояно растущие требования строгого контроля доступа, секретности и легкости использования. Новаторская архитектура гарантирует строгую аутентификацию и секретность, обеспечивая возможность создания, утверждения и управления цифровыми сертификатами X.509 по всему предприятию.

Архитектура PKI является широко принятым в мире стандартом для обеспечения защиты пользователей, данных и прикладных программ. Однако большинство коммерческих систем управления PKI требуют проведения обширных настроек для интеграции с существующей ИТ инфраструктурой и бизнес-процессами пользователя этих программ. eTrust PKI, наоборот, обеспечивает быструю интеграцию в информационную систему предприятия и облегчает возможности администрирования в масштабе всего предприятия, что является наиболее критичными для эффективного внедрения. eTrust PKI, таким образом, снижает риски безопасности, связанные с неполным или неправильным администрированием сертификатов.

Для чего необходима PKI

Развитие электронного бизнеса обуславливает необходимость использования надежных средств аутентификации. Перед началом электронной транзакции необходимо удостовериться, что вторая сторона является именно той, за кого она себя выдает. В традиционном, "бумажном" документообороте роль атрибутов, подтверждающих личность участников сделки, являются печати и подписи. Однако, "бумажный" документооборот является слишком медленным и неудобным для современного высокоскоростного электронного мира. Цифровые сертификаты обеспечивают подпись электронных документов, таких как сообщения электронной почты, web-контент, финансовые транзакции и т.д.

Помимо аутентификации, PKI обеспечивает шифрование сообщений. Отправитель сообщения генерирует временный (сеансовый) симметричный ключ и использует этот ключ для шифрования сообщения, затем этот симметричный ключ шифруется с помощью открытого ключа получателя. Зашифрованное сообщение и зашифрованный симметричный ключ пересылаются получателю. Получатель сначала расшифровывает симметричный ключ с помощью своего закрытого (секретного) ключа, а затем, с помощью расшифрованного сеансового ключа - сообщение. Таким образом, сообщение может прочитать только тот, кому оно предназначено.

Архитектура eTrust PKI

На рис. 1 показана базовая структура PKI, в соответствии с которой построена eTrust PKI. Рассмотрим функциональное предназначение этих компонентов:

• CA - Центр Сертификации - элемент PKI, которому доверяют создавать и/или заверять сертификаты.
• DIR - служба директорий с протоколами доступа X.511, X.519, LDAP. Предназначена для организации репозитария сертификатов. В eTrust PKI роль этого элемента выполняет eTrust Directory.
• EE - конечный пользователь (End Entity)
• OCSP - протокол определения статуса текущего сертификата (Online Certificate Status Protocol). В eTrust PKI этот протокол реализован с помощью eTrust OCSPro.
• RA - Центр Регистрации - элемент PKI, уполномоченный выполнять регистрацию, т.е. выполнять идентификацию пользователей и их регистрацию в списке таким образом, чтобы обеспечить возможность защищенного присвоения сертификатов этому пользователю.

Преимущества eTrust PKI

В то время как технология PKI стала широко принятым стандартом обеспечения защиты информации, многие коммерческие PKI-системы требуют проведения обширных и сложных настроек для их интеграции в существующие информационные системы и бизнес-процессы. Большинство из них не обеспечивает эффективное управление сертификатами в масштабах целой организации, что приводит к дорогостоящему и медленному внедрению и подрывает веру в эффективность использования PKI.

eTrust PKI, в отличие от многих других продуктов данного класса, чрезвычайно прост в инсталляции. Это достигается за счет того, что все основные компоненты, необходимые для организации Инфраструктуры Открытых Ключей, интегрированы в одном продукте. eTrust PKI обеспечивает возможность создания, отзыва и администрирования пользовательских сертификатов. eTrust PKI поставляется с базовым вариантом eTrust Directory, исполняющим роль репозитария сертификатов. Вместе с eTrust PKI также поставляется базовый вариант eTrust OCSPro, который выполняет функцию сервера верификации сертификатов. eTrust PKI позволяет хранить сертификаты, защищенные паролем или PIN-кодом, как на жестком диске, так и на смарт-картах ведущих производителей, таких как Gemplus, Eracom, nCipher и Rainbow.

eTrust PKI легко интегрируется с другими продуктами компании Computer Associates (в том числе, с eTrust Single SignOn, позволяя получить законченное решение управления правами доступа пользователей к инфомационным ресурсам любого предприятия) и является полностью совместимым по стандартам с решениями других поставщиков, таких как Baltimore, Entrust и т.д.

eTrust PKI позволяет создавать сертификаты и списки отозванных сертификатов для большинства популярных приложений, таких как

• Internet Explorer
• Netscape
• MS Outlook
• MS Exchange
• MS Word
• и т.д.

А набор инструментов для разработки программного обеспечения (Software Development Kit - SDK), входящий в комплект eTrust PKI, позволяет разрабатывать прикладные программы с поддержкой PKI или дорабатывать существующие прикладные программы для интеграции в Инфраструктуру Открытых Ключей.

Поддерживаемые Платформы

• Windows NT (с Service Pack 6a)
• Windows 2000 (с Service Pack 1, 2 или без Service Pack)
• Windows XP