Усовершенствования, связанные с ключами увеличенной длины в сертификатах и ID
5.2 Каким образом 1024-битовые ключи увеличивают безопасность
При использовании как секретного, так и общего ключа чем больше битов (или цифр) "хорошие парни" используют в общем и личном ключах, тем сложнее "плохим парням" взломать их. Для секретных ключей число битов, обеспечивающих тот же уровень безопасности, гораздо меньше, чем для общих ключей. В настоящее время для секретных ключей нормой является 128 бит и более, а для общих ключей рекомендуется использовать 1024 бита или более.
Медленная работа компьютеров начала 80-х также накладывала ограничения на размер ключей, которые можно было использовать в ранних версиях Notes и Domino без существенного ухудшения производительности. Кроме того, до 2000 г. система Notes и Domino должна была подчиняться нормам, накладываемым правительством США, которые ограничивали размер личных и общих ключей, а также ключей массивов данных в версиях, которые экспортировались за пределы США; поэтому североамериканская и международная версии Notes и Domino работали с разными размерами ключей. Существовала даже специальная версия Notes и Domino для Франции, поскольку французские ограничения импорта не позволяли применять схему "уменьшения фактора трудозатрат" (workfactor reduction), которую IBM согласовала с правительством США для того, чтобы можно было экспортировать более длинные ключи в другие страны.
Несмотря на эти практические и юридические ограничения, размеры ключей, которые "хорошие парни" продолжали использовать в Notes и Domino до настоящего времени, являются достаточными практически для всех областей применения в бизнесе и позволяют противостоять даже дорогостоящим и сложным атакам со стороны "плохих парней". К сожалению, такая ситуация не может сохраняться долго, а для некоторых случаев этого уже недостаточно.
Одна точка зрения заключается в том, что Notes PKI гарантирует защиту на 20-25 лет, притом что Notes исполнилось сейчас 20 лет. С чисто технической точки зрения период гарантированной защиты для тех пользователей, которые начинали с ранних международных версий Domino, уже истек, а к концу этого десятилетия истечет срок гарантии защиты всех пользователей Notes и Domino.
С точки зрения бизнеса текущая ситуация не столь ужасна, поскольку "плохим парням" нужно идти на существенные расходы, чтобы взломать данные, защищенные даже слабыми ключами международной версии, использованной в Notes PKI. Однако специалисты по безопасности не любят оценивать стоимость данных для "плохих парней" и сколько денег они могут пожелать потратить на то, чтобы украсть их. Они хотят, чтобы затраты для "плохих парней" всегда были такими, чтобы об этом нельзя было даже подумать, и согласно этому стандарту систему Notes и Domino нужно обновлять.
В Notes и Domino 7 IBM предприняла шаги, направленные на то, чтобы сделать систему Notes и Domino соответствующей стандартам профессионалов по безопасности, и эти шаги заключаются в переходе на более длинные ключи. В Notes и Domino 7 полностью поддерживаются 1024-битовые ключи, а поддержка ключей еще большего размера, 2048-битовых, уже готова и ждет включения в будущую версию.
5.2.1 Проверка ID-файлов с целью определения надежности ключей
В Domino Administrator перейдите на закладку Configuration (Конфигурация) и на жмите пункт ID Properties (Свойства ID) в разделе Certification (Сертификация). Выберите ID-файл, например ваш ID сертификатора, и введите пароль к нему. В окне ID Properties (Свойства ID) нажмите Your Identity (Ваш идентификатор), а затем. Your Certificates (Ваши сертификаты). Вы должны увидеть одну или несколько ие рархических записей о сертификатах в таблице, как показано на рис. 5.1.
Выделяйте все иерархические сертификаты по очереди и нажимайте кнопку Advanced Details (Дополнительная информация). Последняя строка в окне Notes Certificate Advanced Details (Дополнительная информация о сертификате Notes) отображает надежность ключа — 630 или 512 бит, как показано на рис. 5.2. Их может быть сразу два, и в этом случае по возможности используется более длинный ключ.
5.2.2 Обратная совместимость и совместимость "снизу вверх"
С исторической точки зрения 2 фактора ограничивают размеры ключей, которые может использовать любая версия Notes и Domino. Один фактор - это программное обеспечение для шифрования, включенное в базовый код API конкретного релиза. Другой фактор - это ограничения, наложенные правительством США, на функционирование программ, экспортируемых за пределы США. К счастью, данные законодательные ограничения разрешают взаимодействие между программным обеспечением, работающим в США, и программами, работающими за пределами США. Чтобы это стало возможным, в коде Notes и Domino проведено различие между размером ключа, используемого для генерации данных, и размером ключа, используемого для приема данных. Международные версии Notes и Domino не генерируют данные с помощью ключей, размер которых превышает пределы, установленные законодательством США, но могут принимать данные с использованием ключей, размер которых может достигать максимума, установленного для API, применяемого данной версией. Экспортные ограничения больше не действуют, но такая стратегия поддержки длинных ключей еще использовалась в Domino 6 и 6.5 для подготовки поддержки более длинных ключей в Domino 7, и теперь такие ключи применяются в Domino 7 для подготовки к переходу на еще более длинные ключи в будущих версиях.