Experti zápasí s projektem PKI

Snaha o přepracování infrastruktury PKI přivádí do firmy zlatem vyvažované konzultanty. Před pěti lety, ještě ne


Snaha o přepracování infrastruktury PKI přivádí do firmy zlatem vyvažované
konzultanty.
Před pěti lety, ještě než jsem nastoupil na své současné místo, zprovoznila
naše firma aplikaci pro finanční služby určené 20 000 uživatelů u 900 firem v
18 zemích světa. Již tehdy si zde zodpovědné osoby uvědomovaly, že bude třeba
nějaké lepší zabezpečení, než jen pouhá jména a hesla. A tak zde byla
vybudována infrastruktura PKI (Public-Key Infrastructure infrastruktura s
veřejnými klíči). Tohle technické rozhodnutí se nám teď vrátilo jako bumerang.
Doba se změnila a my se snažíme pozdvihnout současné řešení na vyšší úroveň.
Proto jsme se rozhodli vyhledat kvalifikovanou pomoc u externích konzultantů.
Nebylo to však nijak snadné.
V současné podobě naše komunikace s klienty vypadá tak, že když potřebujeme
ověřit jejich identitu prostřednictvím PKI, požádáme softwarového klienta na
jejich straně o provedení určitých výpočtů, které jsou možné pouze se znalostí
jejich privátního klíče. Privátní klíč přitom není uchováván na centrálním
serveru ani nikam přenášen, takže je pro případného útočníka daleko
komplikovanější jej ukrást nebo odhalit.
I tak má ale námi používaný postup své slabiny. Zjištění privátního klíče je
sice komplikované, není však zcela nemožné. Alespoň pokud máte k dispozici
výkonné počítače a dostatek času. A privátní klíče mohou být také ukradeny
přímo uživatelům. Abychom zajistili, že celý systém zůstane po celou dobu
používání dostatečně bezpečný, nastavili jsme klíče tak, aby každé čtyři roky
expirovaly. A tady začaly naše problémy.

Klíčové bolení hlavy
Před rokem a půl, než nadešlo datum expirace starých klíčů, jsme museli všem
našim uživatelům vydat klíče nové. Byl to skutečně bolestivý manuální proces,
který trval měsíce a štval nás i uživatele. Mou skupinu zajišťující bezpečnost
firmy takřka paralyzoval její členové totiž místo nějaké smysluplné
kvalifikované práce generovali jednotlivé klíče a následně zajišťovali proces
jejich odeslání příslušným uživatelům. Pro rozesílání jsme přitom použili
šifrované samospustitelné komprimované soubory. Mnohé firewally ve firmách
příjemců ale byly nastaveny tak, aby pozastavily e-maily s přílohou, kterou
nelze proskenovat na přítomnost potenciálně škodlivých kódů, případně aby ji z
e-mailu rovnou zcela odstranily. Takže pro naše uživatele byl komplikovaný už
samotný proces obdržení klíčů a to nemluvím o jejich následné instalaci na to
správné místo. Teď, když jsou konečně všechny klíče na svém místě, se rozhodně
netěšíme na další datum expirace. V době budování našeho stávajícího systému
byla technologie PKI v obchodním světě ještě raritou. Nebyly k dispozici
produkty, které by za rozumnou cenu poskytovaly všechny potřebné funkce pro
vybudování dostatečně kvalitní PKI infrastruktury. Naše vlastní řešení je sice
neohrabané a jeho uživatelské rozhraní vydávání nových klíčů rozhodně
neusnadňuje, ale alespoň odpovídá mezinárodním standardům pro práci s klíči.
Od doby, kdy uvedené řešení vzniklo, ale již uplynulo tolik času, že se situace
výrazně změnila. Technologie PKI se stala velmi populární a konkurence na trhu
významně snížila ceny dostupných řešení. Takže jsou k mání docela zajímavé
balíky produktů.
Abychom si ušetřili trápení s vydáváním nových klíčů, začali jsme pátrat na
trhu PKI po možnostech jednotlivých produktů. Protože je náš vlastní kód
postaven na schválených standardech, v podstatě stačí vyměnit jádro firemní PKI
bez nutnosti přepsat kód pro autentizaci v koncových aplikacích. Jde ale o to,
aby zvolený nový systém byl schopen s tím naším skutečně dobře spolupracovat a
přitom nám nabídl co nejlepší užitnou hodnotu za co nejnižší cenu.

Ve spárech konzultantů
Mám poměrně silné zázemí, pokud jde o teoretické základy šifrování, ale bohužel
jen málo osobních zkušeností, pokud jde o nasazení systémů realizujících PKI ve
velkém měřítku. Proto jsem se rozhodl obrátit se pro pomoc na některé z
doporučovaných konzultantů, kteří se takovými věcmi zabývají již delší dobu.
Naše setkání začalo tím, že jsme jim podrobně popsali situaci, ve které se
nacházíme, a vysvětlili, čeho bychom chtěli dosáhnout. Jakmile se do řeči
pustili konzultanti, trochu jsem znervózněl. Zdálo se, že příliš nerozumějí
problematice délky klíčů (o tomto obecném problému jsem psal ve svém minulém
příspěvku v Computerworldu č. 40/2002). Nejpodivnější moment nastal, když nás
jeden z nich upozornil, že kořenový (root) klíč (tedy klíč, který je používán
pro vydávání uživatelských klíčů) musí být o 512 bitů delší než klíče
uživatelů. Jistě, měli byste tvořit klíče tak dlouhé, jak je to jen možné, aby
jejich prolomení trvalo co nejdéle (pokud možno nějakou tak nesmyslně dlouhou
dobu, že to v podstatě nebude v reálné době současnými prostředky možné). Na
druhou stranu je ovšem třeba, aby délka klíče nebránila jeho uchovávání a
neprodlužovala dobu jeho aplikace za mez únosnosti.
Kořenový klíč je cennější než klíče uživatelů, protože s jeho pomocí můžete
vydat vlastní uživatelské klíče. Proto dává smysl, pokud tento klíč uděláte
delší než klíče uživatelů. Ale proč by měla být stanovena nějaká hodnota, o
kolik má být tento klíč delší než klíče uživatelů? Požádal jsem tedy
konzultanta, aby mi to vysvětlil. "To je zkušenost z praxe," odpověděl
konzultant, ale další vysvětlení mi nebyl schopen podat.
Naše vztahy se dále ochladily, když jsme se zeptali, kterého výrobce nám
poradci doporučí pro řešení našeho problému. Protože bezpečnostní konzultanti
často fungují jako profesionální podpora firem RSA Security a Entrust, nebyli
jsme nijak překvapeni, že nám doporučili právě a pouze tyto dvě firmy.
Společnosti VeriSign, RSA a Entrust jsou rozhodně třemi největšími hráči na
poli řešení pro PKI. My jsme ale doufali v nabídku produktu, který by byl ušit
na míru našim potřebám. Místo toho nás konzultanti odkázali na dvě ze tří
největších firem. To opravdu nebyla nejlepší cesta, jak nás přesvědčit, že si
skutečně zaslouží svoje úžasně vysoké poplatky za konzultaci.

Ošulte to
Potom jsme jim vysvětlili, že potřebujeme přejít na nové řešení PKI rychle,
abychom zajistili, že bude vše bezchybně fungovat už v okamžiku, kdy bude třeba
před příští expirací klíčů vydat klíče nové. To ušetří čas našim zaměstnancům i
problémy našim uživatelům, takže je to pro nás logická priorita. Rozhodně by
nebylo dobrým řešením, pokud bychom museli vydávat nové klíče krátce poté, co
bychom je vydali prostřednictvím stávajícího řešení. A odpověď? "Proč
neprodloužit o několik let platnost kořenového klíče, abyste získali více
prostoru pro update? Uživatelé se to přece nikdy nedozvědí. Vyhovuje?" To je
podobné řešení, jako kdyby se obchod s potravinami rozhodl, že si přilepší tím,
že přepíše datum expirace na krabicích s mlékem. Uživatelé se to přece nikdy
nedozvědí. Ale já se to dozvím! A já jsem tady zodpovědný za bezpečnost. Tak
jsme se nakonec, bohužel, moc nového o tom, jaké řešení PKI máme koupit,
nedozvěděli. Co ale víme zcela jistě, je to, že rozhodně nepoužijeme tyhle
konzultanty k tomu, aby nám s naším rozhodnutím pomohli. Otázka řešení našeho
problému před námi tedy leží dál v takřka nezměněné podobě.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.