PKI Aberta x Fechada
Uma PKI pode servir para vários aplicativos, diminuindo assim a carga administrativa e aprimorando a experiência do usuário final (por exemplo, reduzindo o número de senhas que ele deve lembrar). Um dos maiores desafios é como habilitar os aplicativos para receber a PKI, especial-mente aqueles considerados os melhores do gênero, em geral os solicitados pelos clientes empresariais. Os vendedores de PKI utilizam duas propostas:
- PKI Fechada:
Um software de PKI patenteado é instalado em todos os computadores.
Os aplicativos que utilizam a PKI têm que receber uma interface
do software de PKI patenteado.
- PKI Aberta:
Os aplicativos nativos fazem a interface com a PKI utilizando protocolos
de interface de padrão industrial ou interfaces adaptadas de
acordo com as parcerias dos vendedores de aplicativos PKI. Não
é necessário que o software de PKI patenteado seja instalado
no computador. Na PKI Fechada, é o vendedor de PKI quem escolhe
o software a ser utilizado por todo um grupo de usuários, inclusive
clientes, parceiros, etc. Todos os usuários têm que aceitar
o sacrifício e os custos da instalação, atualização
e monitoramento dos problemas deste software específico. Este
é um exemplo real de um dos maiores perigos da PKI Fechada:
recentemente, um conhecido vendedor de software de PKI lançou
uma variante de um navegador muito comum, adaptado para interagir
com os produtos deste vendedor de PKI, através de uma interface
de software patenteada. Entretanto, as atualizações
posteriores do navegador não funcionaram com a mesma PKI. Com
isso, os clientes mais distraídos ficaram encalhados com o
lançamento de um software de navegador obsoleto.
|
Além disso, a PKI Fechada não passa da intranet empresarial, isto é, ela não chega aos aplicativos de extranet que servem clientes e sócios. Se todos os computadores que utilizam os certificados não estiverem sob o controle da empresa, é impraticável exigir softwares especiais (tal como cliente de PKI patenteado) nestes computadores. Em uma extranet, os sistemas computacionais em seu modo nativo devem operar em conjunto com a central de PKI. |
A VeriSign está comprometida com o conceito de PKI Aberta, que evita os pro-blemas citados acima. A VeriSign mantém relações de parceria com mais de 100 vendedores de software independentes, inclusive a Microsoft, Netscape, Lotus, Oracle, Hewlett-Packard, SECUDE (PKI para SAP R/3), Intuit, Jetform, Cisco e Lucent. As soluções de PKI Empresarial da VeriSign funcionam, de forma eficaz, com os produtos padrão destes vendedores. Já que os produtos ofere-cidos pela PKI da VeriSign complementam totalmente os oferecidos por estes vendedores de software, nós podemos facilmente utilizá-los como parceiros no sen-tido de tornar a PKI Aberta uma realidade.
Além disso, a VeriSign contribui substancialmente para a formulação de padrões indústria para a PKI. Por exemplo, nós fornecemos o Co-Chair para o comitê de PKIX da IETF (Força Tarefa de Engenharia da Internet), que desenvolve não só tais padrões, como também Editores para cinco dos rascunhos padrão de PKIX.
A estratégia da VeriSign para PKI Aberta também inclui
um kit de ferramentas para aplicativos escritos pelo cliente e habilitados
para PKI. Se preferirem, os clientes podem fazer sua escolha a partir
de uma lista de kits de ferramentas habilitados pela VeriSign, mas produzidos
por outros vendedores, inclusive Entegrity, Baltimore, RSA e Xeti. O
programa de PKI Aberta também se estende para as relações
de parceria com integradores de sistemas, tais como KPMG e Ernst &
Young. Tais parcerias facilitam a criação de soluções
de PKI Empresarial altamente integradas.
|
Uma PKI Empresarial deve ser compatível com todos os aplicativos preferidos da empresa, sem sobrecarregar os computadores com produtos PKI patenteados. A VeriSign trabalha com mais de 100 vendedores independentes de software, incluindo todos os maiores nomes, para fornecer aplicativos de PKI Aberta que sejam habilitados para PKI pela VeriSign quando enviados por seus vendedores. A PKI Fechada limita os aplicativos habilitados para PKI àqueles dos vendedores, preparados para criar a interface de um software de PKI patenteado. Ou pior, ela não funciona em extranets, pois ali a empresa não controla todos os computadores. |
Tecnologia de Bancos de Dados/Diretórios
As empresas operam uma variedade de sistemas de bancos de dados e diretórios empresariais que possivelmente precisem ser integrados às suas PKIs. Estes sistemas de bancos de dados/diretórios incluem: diretórios de tecnologia X.500, servidores com diretórios LDAP (Protocolo de Acesso a Diretório de "Pouco Peso") voltados para a web, sistemas DBMS (Sistema de Gerenciamento de Bancos de Dados) de fornecedores tradicionais, e vários sistemas já adquiridos. Os certificados (e, quando for o caso, as CRLs - Listas de Certificados Revogados) solicitados pelos aplicativos da empresa podem ser distribuídos por qualquer um dos sistemas acima.
A VeriSign reconhece a necessidade de conciliar todas as tecnologias
acima, em oposição à hipótese de interligar
os produtos oferecidos em uma PKI Empresarial a apenas uma tecnologia
específica (ex.: X.500). As empresas estão mudando para
arquitetura de diretórios comuns e querem integrá-los,
e não separá-los. Por isso, o VeriSign Managed PKI inclui
um Módulo de Integração de Diretórios adaptável
que suporta a distribuição de certificados para bancos
de dados e diretórios de empresas locais. Ele dá suporte
diretamente a sistemas de diretórios voltados para LDAP, mas
também foi planejado para ser rapidamente adaptado para interagir
com qualquer outra tecnologia de bancos de dados ou diretórios.
Esta opção do VeriSign Managed PKI está incluída
nos recursos dos Serviços Profissionais da VeriSign, podendo
ser adaptada para satisfazer qualquer necessidade específica
do cliente.
|
A instalação de uma PKI não deve forçar uma empresa a adotar uma estratégia de diretório em particular. O VeriSign Managed PKI se adapta à tecnologia de bancos de dados/diretórios instalada no cliente, inclusive LDAP, X.500, SQL ou tecnologia legada. O software de PKI autônoma que exija um protocolo de interface de diretório em particular e/ou determine um esquema de diretórios específico não se integrará com facilidade aos sistemas de diretórios já existentes, devido a conflitos de esquema e características. |
Revogação
Um certificado pode ter que ser revogado por uma CA se a chave privativa do usuário ficar comprometida ou se a CA não quiser mais aceitar a certificação. Diferentes ambientes de aplicativos exigem diferentes mecanismos de revogação, dependendo dos cenários de riscos, das condições de oportunidades, e dos tamanhos e distribuições do assinante e dos grupos de parceira de confiança. Os mecanismos de revogação estabelecidos incluem listas de revogação de certificados (CRLs), questionamento interativo (WWW) e em tempo real sobre a situação do certificado, e verificação on-line do status do certificado (OCSP). A VeriSign compromete-se a dar suporte a todos estes mecanismos de revogação, segundo a necessidade do cliente.
As escolhas feitas no programa padrão do VeriSign Managed PKI dão suporte tanto às CRLs diárias, como à determinação interativa e em tempo real da situação do certificado. A emissão de CRLs de hora em hora está disponível como opção. Além disso, a VeriSign fornece um plugue de revogação para o IIS da Microsoft e o Enterprise Server da Netscape, que checa a situação de revogação de um certificado de cliente apresentado, indo buscar automaticamente as CRLs, quando necessário. Isto propicia um ambiente de revogação totalmente automatizado para servidores web que, diferentemente do que é oferecido pela PKI Fechada, irão operar navegadores padrão.
Para aplicativos que requeiram verificação de status
em tempo real, a VeriSign foi a pioneira no desenvolvimento do protocolo
OCSP e foi o primeiro vendedor a demonstrar o OCSP em operação
nos testes de PKI da Associação Nacional de Carteira de
Compensação Automática (NACHA), em 1998. A VeriSign
fornecerá o OCSP para clientes empresariais à medida que
os vendedores de aplicativos colocarem no mercado suporte para este
protocolo.4
|
A PKI Empresarial deve aceitar vários requisitos de revogação de diferentes aplicativos. A VeriSign gera CRLs diariamente ou de hora em hora para todos os clientes empresariais. Ele fornece verificação da situação de revogação pronta para ser utilizada por servidores empresariais que possam operar com navegadores padrão. Também será dado suporte do OCSP para clientes habilitados para utilizá-lo. Os vendedores de software PKI só dão suporte às CRLs, e normalmente só em conjunto com o software de cliente patenteado. |
44A empresa de comunicação da Netscape anunciou antecipadamente a implantação deste protocolo em agosto de 1998.
