CC BY
52
Н. В. Коротаев
АНАЛИЗ ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ РЕАЛИЗАЦИИ КРИПТОПРОТОКОЛОВ В СОВРЕМЕННЫХ УДОСТОВЕРЯЮЩИХ ЦЕНТРАХ Аннотация
В связи с началом активной реализации федеральной целевой программы «Электронная Россия» формированием технической базы электронного правительства в статье рассматривается проблема надежности, защищенности и быстродействия программно-аппаратных комплексов, реализующих функции удостоверяющего центра. Для тестирования были избраны семь информационных систем. Из них во второй раунд испытаний прошли всего три программных продукта. Результаты испытаний производительности выявили лидера, что позволило классифицировать финалистов по сферам их возможного применения.
Annotation
In connection with the beginning of active realization of the federal target program "Electronic Russia", formation of technical base of the electronic government, in clause is considered a problem of reliability, security and speed of the hardware-software complexes realizing functions of the certifying center. For testing seven information systems have been selected. From them in the second round of tests have passed only three program products. Results of tests of productivity have revealed the leader that has allowed to classify finalists on spheres of their possible application.
2008 № 2
Вестник Ростовского государственного экономического университета «РИНХ»
Ключевые слова
Удостоверяющие центр, электронное правительство, службы сертификации, инфраструктура открытых ключей, анализ производительности, криптозащищенность, электронная цифровая подпись.
Key Words
Certificate Authority, electronic government, services of certification, an infrastructure of the open keys, the analysis of productivity, cryptographic safety, the electronic digital signature.
Согласно материалам сайта Электронная Россия [1] перед Министерством информации и связи была поставлена задача - сформировать к 2010 году нормативную и техническую базу "электронного правительства".
Наиболее значимые цели формирования в России электронного правительства можно обозначить следующим образом:
• повышение качества и доступности государственных услуг, упрощение процедур и сокращение сроков их оказания;
• повышение открытости информации о деятельности органов государственной власти, а значит, и обеспечение контроля над ними.
В качестве одной из задач повышения эффективности использования информационных технологий указывается «развитие единой защищенной телекоммуникационной инфраструктуры для государственных нужд, системы удостоверяющих центров в области электронной цифровой подписи и электронной среды взаимодействия, обеспечивающей эффективный межведомственный информационный обмен» [2].
Существуют различные программные продукты, обеспечивающие работу удостоверяющего центра и обладающие своими достоинствами и недостатками. Но неотъемлемыми требованиями, предъявляемыми к программным продуктам, назначение которых безопасность информации, являются: защищенность обрабатываемой информации, быстродействие (что для про-
грамм криптографической защиты имеет особое значение), стабильность работы, регулярная техническая поддержка и выпуск обновлений.
Защищенность программного продукта требует детального рассмотрения последнего, что на данном этапе представляется невозможным, так как почти все программные продукты являются пропритеарными и требуют длительной процедуры приобретения лицензии. Стабильность работы и техническая поддержка требуют изучения отзывов пользователей.
Задачей исследования стало провести анализ быстродействия программных продуктов, обеспечивающих деятельность УЦ, выделить среди них наиболее удачные решения, разделить программные продукты по сферам их оптимального применения, например, для малого бизнеса, для крупной компании или для корневого удостоверяющего центра.
Проблема выбора наилучшего программного продукта по какому-либо из параметров либо проблема многокритериального выбора никогда не перестает быть актуальной. Это объясняется постоянными изменениями на рынке программного обеспечения. Каждая новая версия программы включает в себя либо новые функциональные возможности, либо исправляет ошибки в предыдущих версиях, а значит, делает программный продукт надежнее, поэтому любые результаты анализа программных продуктов со временем устаревают. Кроме того, постепенно и неиз-
бежно наша страна приближается к защищенному электронному обмену документами на всех уровнях. Уже сейчас налоговые органы принимают декларации налогоплательщиков в электронном виде, банковский сектор экономики использует открытые ключи при обмене информацией с клиентами и т.д. К 2010г. планируется организовать электронный документооборот между населением и органами местного самоуправления, в частности, перевести в электронный вид бланки заявлений, жалоб и прочих документов. Через полтора года планируется организовать работу судебных органов власти через Интернет [3].
Поэтому в этой области уже сейчас требуются качественные программные средства, и их разнообразие создает предпосылки для анализа и выбора наилучшего решения.
Важнейшим звеном в иерархии удостоверяющих центров является корневой УЦ. От его защищенности, надежности, быстродействия зависит качество работы всех зависимых центров. Возникают закономерные вопросы о форме собственности, в которой будет находиться организация-владелец УЦ, о сфере применения сертификатов, выдаваемых им, о доверии к ним со стороны госучреждений и т.д.
Многие специалисты неоднократно отмечали необходимость создания корневого удостоверяющего центра на уровне государства [4, 5], так как именно такой центр может заслужить доверие и со стороны бизнеса, и со стороны общества, а также со стороны самого государства. Но это лишь мнение. Мы знаем примеры коммерческих УЦ (Уеп81§и и др.), которые получили мировую известность и признание.
Проблема корневого УЦ, на наш взгляд, должна решаться на самом высоком уровне. Возможно, стоит разработать собственный программный продукт для этих целей, который бы отли-
чался гибкостью, надежностью и соответствовал российским госстандартам.
Более сложная задача стоит перед коммерческими структурами, которые, например, поставят перед собой цель - образовать негосударственный удостоверяющий центр. Перед ними возникает проблема выбора программного комплекса удостоверяющего центра из уже существующих программных продуктов. Эта проблема не может быть решена тривиально и требует более тщательного рассмотрения.
Согласно информации, полученной из периодической литературы, материалов конференций и Интернета [6], существует большое количество программных продуктов, обеспечивающих работу удостоверяющего центра. Однако для рассмотрения были выбраны не все программные продукты, а только те, которые достаточно широко освещены в Интернете, имеют свои сайты, применяются на предприятиях как коммерческих, так и государственных.
Такая позиция имеет вполне рациональное обоснование. Глобальная паутина используется не только для поиска информации о программных продуктах, но и для контакта с производителем. Но если информация о программном продукте была получена из журнала и не представлена в Интернете, то пользователь просто не сможет найти контакта с производителем и приобрести такой программный продукт. Поэтому они не рассматриваются.
Были отобраны семь программных продуктов, для которых учитывались указанные условия:
- Baltimore UniCert,
- Entrust Authority™,
- Microsoft Certificate Services,
- Red Hat Certificate System (бывший Netscape Certificate System),
- Novell Certificate Server,
- RSA Digital Certificate Solutions (бывший RSA Keon),
- Удостоверяющий Центр "КриптоПро УЦ".
На следующем этапе исследования был проведен еще один отбор. Здесь оценивался состав информации, представленной во Всемирной паутине, а именно: наличие пробной версии программы, описание возможностей и ар-
хитектуры, наличие результатов тестирования производительности. В случае наличия такой информации программный продукт получал 1 балл, иначе - 0 баллов. В конце все баллы были сложены и получена общая оценка.
Таблица 1. Полнота представления информации о продуктах
Программный продукт Наличие странички в Интернете Наличие на сайте пробной версии продукта Наличие на сайте описания возможностей и архитектуры Наличие на сайте результатов тестирования производительности Общая оценка
Baltimore UniCert нет нет нет/нет нет 0
Entrust Authority™ да есть да/нет нет 2
Microsoft Certificate Services да нет да/да нет 3
Novell Certificate Server да есть нет/нет нет 2
Red Hat Certificate System да нет да/нет нет 2
RSA Digital Certificate Solutions да нет да/нет есть 3
КриптоПро УЦ да есть да/нет есть 4
Как видно из таблицы, наиболее полная информация опубликована на сайтах, представляющих программные продукты КриптоПро УЦ, Microsoft Certificate Services и RSA Digital Certificate Solutions. Интернет-страницы этих компаний производят хорошее впечатление, имеют простую и понятную структуру, содержат вспомогательную информацию, которая помогает начинающему пользователю разобраться в проблеме, включают разделы, посвященные техническим аспектам функционирования программных продуктов. Наивысшую оценку получают RSA Digital Certificate Solutions и КриптоПро
УЦ, так как на представляющих эти программные комплексы сайтах опубликованы результаты тестирования производительности, что позволяет пользователю оперировать конкретными цифрами и сравнивать эти цифры с аналогичными показателями для других программных продуктов.
Далее был проведен анализ производительности. На приведенном ниже рисунке 1 показаны графики зависимости времени, необходимого на полную обработку сертификата (запрос, генерация ключа, выдача сертификата) от количества сертификатов в базе данных.
3l9
к
е
с(
а
с
о
р
С
а
м
>
к
кот
ю
а
р
ю
о
а
X
к
5
ер
Сй
Количество сертификатов в БД (тыс.)
КриптоПро УЦ ♦ RSA Digital Certificate Solutions х Microsoft Certificate Services Рис. 1 Производительность программных продуктов
Данные, приведенные на графике для программных продуктов RSA Digital Certificate Solutions и КриптоПро УЦ, были получены из отчетов, опубликованных на сайтах соответствующих компаний. Результаты тестирования производительности Microsoft Certificate Services, по причине его доступности были получены путем проведения собственного испытания, которое проводилось на компьютере с указанной ниже аппаратной конфигурацией (см. табл. 2).
Испытание заключалось в организации максимального количества за-
просов к УЦ на выдачу сертификата, то есть оно было направлено на использование всех аппаратных возможностей УЦ. Результатом тестирования являлось количество выданных сертификатов в базе данных сервера и время, которое удостоверяющий центр тратил на выдачу нового сертификата.
Наиболее сложным моментом в анализе стал вопрос о возможности сравнения результатов, полученных при различных начальных условиях, которые приведены в таблице 2.
Таблица 2. Условия проведения испытаний
Технические характеристики КриптоПро УЦ Microsoft Certificate Services RSA Digital Certificate Solutions
Процессор Pentium 4 l,8 ГГц Celeron D 2, 6 ГГц 6 процессоров 400 МГц
Оперативная память 384 МБ 256 МБ 3 ГБ
Объем диска 4O ГБ 20 ГБ 160 ГБ
Операционная система Windows 2OOO Server SP4 Windows 2003 Server SP2 Solaris 2.6
Следует отметить, что близко друг к другу расположены конфигурации КриптоПро УЦ и Microsoft Certificate Services. Это дает возможность сравнивать результаты испытания этих продуктов между собой. Что же касается конфигурации для RSA Digital Certificate Solutions, то здесь нельзя не отметить значительную роль аппаратных средств в достижении поставленных задач.
Программный продукт Microsoft Certificate Services продемонстрировал близкие к лидеру результаты (максимальная разность результатов не превышает 0,42 сек.), хотя значительно уступал ему в начальных условиях. Это, безусловно, является преимуществом, что позволяет сравнивать этот продукт с лидером. Необходимо учитывать очевидный потенциал для улучшения результатов тестирования.
В итоге первое место занимает RSA Digital Certificate Solutions, так как согласно предлагаемому отчету о производительности, скорость работы программного обеспечения удостоверяющего центра не снижается даже при наличии в базе данных 8 млн. записей, каждая из которых представляет информацию о сертификате. Более того, этот программный продукт является кроссплатформенным, что существенно расширяет возможности его применения.
Второе место заслуженно занимает программный комплекс Microsoft Certificate Services. Это связано в первую очередь с его быстродействием на слабом оборудовании, и лишь во вторую - с его доступностью для рядового пользователя.
Самым медлительным при выдаче сертификатов оказался комплекс КриптоПро УЦ. Такие показатели быстродействия, безусловно, не могут удовлетворить крупного потребителя, который в данном случае будет вынужден отказаться от его использования. При-
чины такой медлительности вряд ли кроются в начальных условиях. Скорее всего, это существенный недостаток программного продукта.
Таким образом, по результатам двух испытаний наилучшим оказался программный продукт RSA Digital Certificate Solutions. Он продемонстрировал высокую производительность и может быть рекомендован в качестве основы для коммерческого удостоверяющего центра, а также для крупных предприятий, нуждающихся в надежной службе, предоставляющей услуги удостоверяющего центра.
Для организаций малого и среднего бизнеса, а также для госучреждений, использующих сертификаты для внутренних нужд, наилучшим решением будет использование Microsoft Certificate Services, так как приобретение и развертывание этой службы в операционной системе MS Windows происходит без трудностей, а обслуживание не требует серьезных затрат времени и финансовых ресурсов.
Свое применение может также найти и комплекс КриптоПро УЦ. Как программный продукт, произведенный в России, он имеет свои достоинства. Так, КриптоПро УЦ первым из всех прочих программных комплексов стал поддерживать отечественный стандарт шифрования ГОСТ Р 34.10-2001, и получил сертификат соответствия, выданный ФСБ РФ.
Преимущество этого продукта также заключается в его гибкости, так как, он ориентирован на российский рынок и может удовлетворить большинство запросов пользователей.
Библиографический список
1. ФЦП «Электронная Россия» — (http://www.e-rus.ru). — 11.02.2008 г.
2. Концепция использования информационных технологий в деятельности федеральных органов государствен-
ной власти до 2010 года. — 27 сентября 2004 г. № 1244-р.
3. Интервью с председателем Высшего арбитражного суда РФ // ФЦП «Электронная Россия».— (http://www.erus. ru/site.shtml?n_id=1303). —09.06.2008г.
4.Б. Шнайер. Секреты и ложь. Безопасность данных в цифровом мире.
— СПб.: Питер, 2003. — 368 с. — С. 211-214.
5.В. Коржов. Службы сертифи-
катов на службе государства // Computerworld онлайн.
(http://www.osp.ru). — 15 октября 2007г.
6.Интернет-версия журнала «Открытые системы».—
(http://www.osp.ru/), Bibliographical list
1. The fédéral target program "Electronic Russia" — (http://www.e-rus.ru). — 11.02.2008 r.
2. The concept of use of information technologies in activity of federal bodies of the government till 2010. — 27 sept 2004 r. - № 1244-p.
3. Interview to chairman of the Supreme arbitration court of the Russian Federation // "Electronic Russia". — (http://www.e-
rus.ru/site.shtml?n_id=13037).
09.06.2008r.
4.B. Schnayer. Secrets and lie. Safety of data in the digital world. — St.Pb.: Piter, 2003. — 368 c. — c. 211-214.
5.V. Korzhov. Certificate Authority on service of the state // Computerworld online. — (http://www.osp.ru). — 15 Oct 2007r.
6.«Open Systems Publications». — (http://www.osp.ru/).
