ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ (PKI)

Инфраструктура открытых ключей (или PKI — Public Key Infrastructure) представляет собой совокупность различных средств для управления ключами и цифровыми сертификатами пользователей, приложений и других элементов IT-системы. 

Главными компонентами PKI являются удостоверяющий центр (УЦ), который выпускает сертификаты открытых ключей и удостоверяет их подлинность, и пользователи — владельцы цифровых сертификатов, которыми могут выступать как сотрудники, так и устройства, приложения или другие УЦ.

Для хранения ключевой информации используются персональные ключевые носители в виде смарт-карт или USB-токенов, на которых располагаются соответствующие закрытые ключи и цифровые сертификаты. 

Внедрение PKI в инфраструктуру организации позволяет решить множество проблем, связанных с информационной безопасностью:

• Замена устаревшей парольной аутентификации на аутентификацию по цифровому сертификату: при доступе в операционную систему и в приложения (VPN, VDI и др.). 
• Цифровая подпись и шифрование электронной почты. 
• Применение квалифицированной электронной подписи для соответствия требованиям регуляторов, обеспечения юридически значимого документооборота, взаимодействия с системами дистанционного банковского обслуживания, участия в тендерах и закупках. 
• Шифрование данных: файлов, дисков и другой информации. 
• Обеспечение безопасного соединения между сервером и браузером пользователя с помощью TLS сертификата.

Однако сопровождение самой инфраструктуры открытых ключей порождает ряд новых задач: 

• Выпуск сертификатов пользователям в соответствии с их задачами: необходимо обеспечить наличие на ключевом носителе пользователя требуемых для его работы сертификатов (в том числе выпущенных на разных УЦ), не предоставив при этом избыточных. 
• Контроль за полным жизненным циклом сертификатов: выпуск, приостановление и возобновление действия, обновление и отзыв.
• Контроль сроков действия сертификатов, уведомление пользователей и администраторов о приближении окончания сроков действия сертификатов, своевременное их обновление. 
• Контроль выпущенных сторонними УЦ цифровых сертификатов и уведомление о приближении окончания сроков их действия. 
• Ведение учёта ключевых носителей, закрепление их за сотрудниками. 
• Управление настройками PIN-кодов ключевых носителей от разных вендоров: настройки инициализации, политики сложности PIN-кодов, регулярность их смены. 
• Разблокировка заблокированных устройств. 
• Замена утраченных (сломанных или потерянных) ключевых носителей. 
• Ведение журнала учёта средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов. 
• Возможность интеграции со сторонними информационными системами для автоматизации процессов использования сертификатов и ключевых носителей.

Все эти вопросы нельзя решить, основываясь только на возможностях удостоверяющего центра. Таким образом, основной задачей управления PKI является интеграция между различными продуктами IT-инфраструктуры, которые используются в организации, предоставление нового функционала и единого интерфейса для удобства использования и автоматизации операций управления. При этом нельзя забывать про обеспечение высокого уровня информационной безопасности.
Для управления PKI применяют специализированные программные комплексы класса Card Management (Smart Card Management System — SCMS, Credential Management System — CMS), которые не только поддерживают продукты различных производителей, но и осуществляют централизованный контроль за всей инфраструктурой и управляют жизненным циклом ключевых носителей.

Узнайте больше о российском программном комплексе – Indeed Certificate Manager (Indeed CM) для защиты логического доступа к ИТ-системам вашей компании на странице продукта или запишитесь на бесплатную демонстрацию работы решения: