數位認証技術對電子通訊有極高的承諾,但是此種承諾被建立信任感的複雜度所牽絆。其挑戰不是來自於認証中的資料或是公共金鑰加密方法的計算成本。其挑戰來自於和認証有關的政策和使軟體執行的任何必需的政策作為。
數位認証應用程式這種進行使用認証的作法導致使用者環境具有多重的身份,和數位認証所承諾改善的多重上線環境極為類似。很明顯地,利用先進的PKCS-12技術(www.Arsa.com/rsalabs/pubs/html/pkcs-12.html)多重認証可以因而實現,而不只是個期望。雖然我同意一個”個人”很少只擁有一個認証,但此技術至少朝著認証增生極小化的方向努力。這項技術需要了解認証的目的和相關使用的責任。X.509提供數種方法可以完成此作業,但它存在許多問題和處理方式需要藉著共同努力才能得以實現。
標示,就是它了
一個X.509的認証是強制性和選擇性資料欄位的組合(請參閱RFC 2459)。沒有強制性的欄位將會影響認証的使用。影響認証使用中最常用的選擇性欄位是keyUsag。其他某些選擇性欄位可以控制包含 extendedKeyUsage、certificatePolicies和nameConstraints。計劃中使用這些欄位,但在各種團體之間缺乏一致性,使得軟體供應商在實行上增加了不確定性。甚至在keyUsage上也產生不一致的情況:應該只有此必需位元進行設定,或者至少此必需位元進行設定?
任何標示的設定是認証使用者和發行者共同決策的結果。使用者定義在他們業務中認証的目的,同時發行者定義認証使用時它所應負起的相關責任。當使用者團體進行嚴格控制,例如公司之員工,同時發行者對此團體也有利益時,這兩個團體的的目標才能緊密結合。然而,當團體關係鬆散,例如產業組織,而認証發行者是其他團體,認証的標示工作可能會變得很困難。認証使用的限制愈明確,誤用和誤判的風險就愈高,這可能導致發行者負擔較高的責任風險。同時愈一般的認証設計,這認証對使用者產生的潛在傷害愈小。
加拿大政府己經規定keyUsage的位置,同時定認証和個人金鑰擁有權是可合理強制加至全國PKI的唯一標示。為了達到這個結果,加拿大已經指定四個確認階層:入門、基本、中等、高等四級。更進一步,加拿大政府已經發展Certificate Policies(CPs)來定義這些階層,並且任何認証發行者可以發展Certificate Practice Statement(CPS)來執行一個或多個CP,並且可以根據此來發行認証。然後使用者團體可以選擇何種CP符合它的企業需求並且配合發行者根據此CP來發行認証。
扭轉乾坤
許多其他使用者團體要求比加拿大政府的政策更高的需求以便控制認証的用途。不同的美國政府部門制定不同的CP。汽車業擁有單獨的CP供IPSec(IP Security)認証使用,並且正發展不同的CP 供EDI系統和一般用者使用。許多金融服務公司也發展各自的CP。當CP的充斥程度使得某一特定的團體主導並限制相關責任時,同時也造成了認証推行的人為障礙。
多種CP將導致認証快速增生的結果,或者產生利用政策制定產生相關的多重認証,亦或產生可令人接受之Certificate Policy OID(Object Identifier)的使用者管理方法。每一個解決方案都可能比較簡單的加拿大政府模式花費更多的費用。
就像我稍早所提過的,應用程式領域已產生多重認証的問題。PKCS-12似乎正成為認証的唯一選擇。當然,認証的軟體管理和認証用途的使用者管理是兩個截然不同的課題。請你考量購買行為應採用何種付款方式:現金、支票或是特定的銀行提款卡。當使用者(他或她)在擁有多種認証時,在面對認証要求詢問時同樣會進行相同的決策。使用者必需了解使用何種付款方式和並且將它皮夾中取出設定。設定錯誤可能導致交易無效,甚或產生出帳錯誤或違法交易的問題。我們己經了解想要只擁有一種認証是個以管窺天的夢想。現實世界中不斷會出現簽署認証和加密認証的需求。但是數十種認証的陰影正步步逼近我們的生活。
PKI將可進行交叉確認,這樣身分辨識成本即可被包含在內並且企業所需認証的數目可以受到控制。然而,有許多方法可進行交叉認証。其中一個較吸引人的方法是將政策原則標示在交叉認証中。為了使用程式可以進行政策有效性檢查,徵策標即表示被標示的政策和原來政策一樣有效。然而,很少真實世界的政策標示出現。許多律師建議政策標示應在政策合法的情況下才能完成,並且政策委員會應包含現今的PKI成員以進行投票表決新成員的入會問題和處理適當的政策標示問題。這是目前美國聯邦PKI的計劃,而連接CA政策委員會的計劃則更完整。政策標示的缺點則為大部份的政策均標示在小部份的政策群組中,並且如果和更基礎的加拿大政府計劃相較,並無任何優點。
另一個可能發生的問題是可預期管理者將在他們的使用者系統中建立政策OID名單的產生。這個問題和交叉認証政策問題相似,但它是本地控制並且無需配合交叉認証(如同目前瀏覽器認証模式,通常稱為受託CA清單Trtusted CA List)。這個方法可將相關責任從認証發行者移至本地管理者身上。它也賦予本地管理者權力可使任何新企業更所需清單。這三種解決方案均不吸引人,然而,加拿大政府的做法對許多團體而言又太過簡單。我們需要折衷的辦法來解決問題。
聰明標示
X.509物件是作為可允許使用的標示的一組號碼。當然,有相關的文件來定義此號碼的商業意義。但電腦時代中,這是非常短視的作法。盡可能地,我們應該將我們的企業限制以機器可處理的方式來加以定義。大部份的CP內容由作業需求所組成,例如CRL更新時間或審查路徑保留期間等。這些需求可以在XML中載明,並且甚至某些”軟性”需求,如金鑰產生環境(使用者系統、動作系統和其他)可以用XML數值指派。利用這種能力,一個管理者可以XML定義應用程式的規則並且使應用程式評估其他政策,以確定其是否可以接受。
以兩家公司擁有非常近似的CP為例,其中一家公司有四個小時的退貨週期而另一家為24小時。 有24小時週期的公司可以設定它的應用程式政策接受任何小於24小時週期的認証,因此它將可和以4小時為週期的公司進行交易。具有4小時週期的公司可能會在CRL週期為24小時的情況下接受已簽章的電子郵件,但如果CRL週期不大於四小時的話,則僅限於接收加密傳輸之電子郵件。因此,本地的政策可以配合當地企業能力同時企業仍然可加以管理。
在認証政策中的XML是根據PKI發展團體中的少數人的發明,包含Entrust的Tim Moses。其他技術也已正在發展當中。AT&T研究中心的Matt Blaze博士(www.research.att.com/~mab)己經定義出兩種政策語言,為Policymaker和Keynote。這些正使PKI的先導試驗期逐漸形成。事實上在PKI領域中有太多的供應商目前正執行大規模的策略。但是當你開始感覺數位認証的本地使用狀況時,請記住整體使用才是企業的自然途徑。而且你必需管理此較大的問題。現在多花點時間來評估各種頂尖的計劃並且接納不同的意見。PKI團體則需更多的企業參與。少數幾個產業,大部份為金融服務業和銀行業,均已經形成了PKI可執行之應用程式的環境。請記住,流淚播種的,必歡呼收割。
留言列表