Обеспечение безопасного обмена информацией в современных электронных системах реализуется разными способами. Наиболее широкое распространение получили системы на основе открытых ключей: PGP и PKI. Подтверждение личности или сообщения - основное предназначение описываемых систем - реализуется с помощью связки цифровых кодов (или сертификатов): ЭЦП, открытого и закрытого ключей. Это общее для обеих систем. Главной особенностью PKI, в отличие от PGP, является наличие компонентов, известных как центр сертификации (ЦС) и центр регистрации (ЦР). Благодаря им возможно подтверждение подлинности личности сторонними уполномоченными организациями.

Наличие ЦС и ЦР обусловило то, что в системе PKI доминирующим направлением подтверждения подлинности является вертикальная (иерархическая) составляющая, когда сертификат подтверждается кем-то, имеющим более высокий статус. В системе PGP основной является горизонтальная составляющая или, другими словами, схема "прямого доверия". Хотя и в той, и в другой системе возможно как вертикальное, так и горизонтальное подтверждение подлинности. Образно можно представить, что в PKI доверие распространяется в виде дерева, а в PGP - в виде сети.

Обе эти технологии используются для следующих целей:

• обеспечение механизма строгой аутентификации;
• организация защищенного обмена электронной почтой;
• организация виртуальных частных сетей (VPN) для защищенных соединений удаленных пользователей и филиальных сетей организации;
• организация защищенных порталов (доступ через Интернет), систем разграничения доступа к сайтам, порталам и приложениям.

Несмотря на наличие множества версий формата Х.509, существует ряд фундаментальных различий между форматами сертификатов Х.509 и PGP:

• сертификат PGP создается только лично (самоподписанный сертификат), сертификат Х.509 может получаться от центра сертификации, а также быть самоподписанным;
• сертификат Х.509 содержит только одно имя владельца сертификата;
• сертификат Х.509 содержит только одну ЭЦП, подтверждающую подлинность сертификата.

Корпорация PGP, признанный во всем мире лидер в области разработки систем информационной безопасности, обеспечивающих надежное хранение и обмен конфиденциальной информацией. Корпорация PGP продолжает усовершенствовать свои решения, которые широко используются как государственными структурами и экспертами криптографии, так и частными пользователями и компаниями.

Библиотека PGP SDK 3.0.3 имеет сертификат Национального института стандартов и технологий США (NIST) о соответствии Федеральному стандарту обработки информации (FIPS) 140-2 первого уровня. PGP SDK является криптографическим ядром всех семейств продуктов PGP от Mobile и Desktop до Command Line и Universal. Получение сертификата NIST означает соответствие ядра PGP нормам стандарта FIPS PUB 140-2 "Требования безопасности к криптографическим модулям". Ознакомиться с Регистром сертифицированных криптографических модулей NIST вы можете тут

Приобретение в 2010 году PGP Corporation корпорацией Symantec красноречиво говорит о значимости и перспективе PGP. Корпорация Symantec, известный мировой производитель программных решений для обеспечения безопасности инженерно-технических активов предприятий, администрирования локальных сетей, резервного копирования и аварийного восстановления данных приобрела компанию PGP Corporation. Эта покупка позволит Symantec расширить свои возможности в сфере разработки высокотехнологических комплексных решений для защиты информации на основе установленных корпоративных политик безопасности, контроля принадлежности данных, мониторинга использования активов предприятия, архивирования, шифрования и резервирования документации.

Symantec планирует осуществить консолидацию ключевых функций программных пакетов PGP Corporation для внедрения высокоэффективной платформы PGP в качестве стандартной основы в решениях по управлению шифрованием конфиденциальных сведений. Symantec намеревается произвести добавление платформы администрирования ключей PGP в программный комплекс Symantec Protection Center для упрощения процесса управления системой обеспечения безопасности информации и предоставления возможности генерирования отчетной документации о попытках проникновения вредоносного кода посредством централизованной консоли.

Интеграция технологии PGP в приложение Symantec Protection Center предоставит возможность предотвращения утраты ценных сведений и обеспечения высокого уровня безопасности Интернет-шлюзов корпоративных сетей. За счет использования системы шифрования данных и возможностей платформы PGP в программных пакетах Symantec планируется значительно повысить уровень защиты секретных сведений на всех их жизненных этапах: создания, хранения и применения, а также значительно облегчить процесс управления ключами.

Все версии программы PGP (даже корпоративные, способные обслуживать от 25 до 50 000 пользователей) не рассчитаны на получение сертификатов от сторонних ЦС. Просто потому, что этого не допускает используемый ими протокол OpenPGP. Это не плохо и не хорошо. Дело в том, что система PGP изначально создавалась под потребности в основном частных пользователей и предназначена в основном для работы с электронной почтой. Имея дело с PGP-сертификатом, каждый пользователь может выступать в качестве заверителя содержащихся в нем сведений (за исключением случаев, когда эта возможность намеренно ограничена политикой безопасности). В последующем PGP стали приспосабливать под потребности защиты электронного документооборота. Все бы хорошо, но возникает проблема доверия сторонним корреспондентам. Что толку от заверений сертификата пользователя, который прислал вам письмо, если вы не знакомы и не доверяете никому из подписавших полученный вами сертификат?

Система PGP вполне может выступить удачным решением для внутрикорпоративных целей, когда заверителем сертификата является уполномоченное администрацией компании лицо. Но, отправляя документы во внешний мир, вы должны подтверждать свою личность отправителя. Аналогично и в случае с получением корреспонденции: вы должны быть уверены в том, что сообщение отправлено именно тем, кто назвался отправителем. Для юридически правильного документооборота в этом случае необходимо заверение подлинности сертификата сторонней уполномоченной организацией. Такую возможность может предоставить только протокол Х.509, на основе которого и построена PKI.

Проблема аутентификации имеет еще один аспект - неотрекаемость. С помощью криптографических средств необходимо обеспечить условия четкой фиксации авторства и времени создания документа. Подтверждение авторства обеспечивается электронной цифровой подписью (ЭЦП), а вот подтверждение времени требует наличия некоторых дополнительных программных возможностей. Проблема фиксирования времени создания документа решается с помощью специального модуля службы штампов времени (TSA). Используя этот сервис, вы можете создать систему, которая обеспечит неотрекаемость не только по имени создателя, но и по времени создания документа.

Задача криптографической защиты электронных почтовых сообщений, файлов и документов сводится к шифрованию данных. И PGP и PKI, позволяют шифровать информацию. Для частной переписки этих мер безопасности может быть вполне достаточно, но для работы государственных организаций этих возможностей может быть недостаточно.

Кроме того, для организаций важен уровень дополнительных возможностей и сервисов. Например, пакетная обработка полученных зашифрованных файлов, которая позволяет ускорить и упростить ежедневные рутинные операции. Другим немаловажным аспектом может оказаться возможность создания дополнительных подписей на файле. Причем сами дополнительные подписи должны быть разными по статусу: равные исходной (собственно дополнительные подписи) и заверяющие. Первые нужны для подписей равных по статусу пользователей (например, членов одного коллектива), вторые - для продвижения сообщения по вертикали принимающих решения лиц. При этом заверяющая подпись должна ставиться как на первичную, так и на любую дополнительную подпись. Это позволяет учесть любую возможную структуру построения организации и порядка принятия решений в ней.

Или другой пример необходимости внимательного подхода к реализации системы документооборота. Некоторые программы шифрования позволяют при создании дополнительных подписей шифровать их (подписи) в единый файл, а не создавать несколько разных файлов ЭЦП. Мелочь, но теперь становится невозможным удаление одной из подписей, только целиком всех, что означает меньший риск фальсификации. Как всегда, дело в нюансах и в способах реализации сервисов в конкретных программных продуктах, делающих аналогичные программы достаточно разными по уровню удобства и полезности для пользователей.

Программы шифрования данных особенно полезны именно при работе в незащищенных сетях. Даже в случае использования незащищенного HTTP с помощью программ шифрования можно организовать обмен зашифрованными документами через онлайновые хранилища данных. Пользователь может зашифровать документы любым доступным встроенным криптопровайдером, поместить зашифрованный файл в хранилище и дать ссылку на скачивание своему корреспонденту. В системе PGP в этом варианте обмена не возникает вообще никаких проблем, в системе PKI необходимо, чтобы пользователи пользовались одинаковыми криптопровайдерами. Для официального документооборота необходимо в этом случае еще и использование сертифицированных ЦС.

PGP и PKI - это две похожие, но все же разные системы. Первая предназначена для неструктурированного (или слабо структурированного) защищенного обмена данными. Даже применение программ, созданных для крупных корпоративных клиентов, не делает систему в целом стройной и понятной. PKI обеспечивает обмен зашифрованными данными как на локальном, так и на межсетевом уровне с достаточной степенью защищенности и достоверности. В настоящее время технология PGP развивается в сторону совместимости с PKI.