Усовершенствования, связанные с восстановлением ID

3.1.3 Notes ID

В основе Notes PKI лежит идентификатор Notes (Notes ID). Notes ID представляет собой небольшой файл (его размер - несколько килобайтов), содержащий многое из того, что является необходимым для использования возможностей PKI, встроенных в клиент Notes. В этом подразделе мы рассмотрим эти возможности и расскажем о разных типах Notes ID, заложив основу для понимания объяснений восстановления Notes ID, приводимых ниже в этой лекции.

ID-файлы сертификатора, сервера и пользователя

Notes ID, по сути, является "контейнером" для сертификатов и ключей шифрования. Существует 3 разных типа Notes ID:

• ID сертификатора. Это Notes ID, которые используются для генерации других ID. Они бывают двух типов - ID сертификатора организации (О) и ID сертификатора подразделения (OU). При генерации идентификаторов ID сертификатора организации создается первым. Это главный ID для домена. Этот ID (если организация достаточно велика) используется, в свою очередь, для генерации ID сертификаторов подразделений. Эти сертификаторы затем применяются для генерации двух других типов ID - ID сервера и ID пользователя.
• ID сервера. Это идентификаторы Notes, которые, как показывает их название, применяются для серверов, входящих в домен Domino. Они однозначно иденти фицируют любой сервер в домене.
• ID пользователя. Это идентификаторы Notes, которые создаются для пользовате лей, входящих в домен Domino. Они однозначно идентифицируют пользователя в домене.

Из-за того, что ID сертификатора может применяться для генерации ID серверов и пользователей, ему нужно обеспечивать более надежную защиту, чем другим типам. Храните эти идентификаторы на флоппи-дисках и помещайте их в безопасное место, а не на жесткий диск сервера. В Domino 6 стало возможным использовать сервер сертификатов Domino 6 certificate authority (CA), который позволяет администратору избежать циркуляции сертификационных ID при их употреблении.

В Domino ID используются для идентификации пользователей и контроля доступа к серверам. ID сертификатора, сервера и пользователя содержит следующую информацию:

• Имя владельца. Файл пользовательского ID может содержать одно альтернативное. имя (на другом языке). Файл ID сертификатора может содержать несколько альтернативных имен.
• Постоянный номер лицензии. Этот номер показывает, что владелец является за конным, и указывает, обладает ли владелец североамериканской, международной. или глобальной лицензией для работы с Domino или Notes.
• Пара сертификатов Notes из ID сертификатора. Сертификаты Notes представляют собой цифровые подписи, добавляемые к ID пользователя или ID сервера. Эта подпись, которая генерируется на основе личного ключа из ID сертификатора, удостоверяет, что имя владельца ID правильно связано с конкретным личным. ключом.
• Унаследованные сертификаты. Сертификат от каждого сертификатора-предшественника (как минимум один от сертификатора организации и по одному для. каждого сертификатора подразделения).
• Личный ключ. В Notes личные ключи используются для подписи сообщений, посылаемых владельцем личного ключа, для дешифровки сообщений, присланных. владельцу и, если ID принадлежит сертификатору, для подписания сертификатов.
• (Дополнительно.) Один или несколько секретных ключей шифрования. Эти ключи создаются и распространяются разработчиками приложений и пользователями, имеющими особые привилегии доступа к базе данных для того, чтобы разрешать другим пользователям зашифровывать и расшифровывать информацию в полях документа.
• (Дополнительно, только для клиентов Notes.) Интернет-сертификаты. Интернет-сертификат применяется для создания безопасных SSL-соединений и шифрования и подписи почтовых сообщений S/MIME. Интернет-сертификат выпускается. сертификационным органом certificate authority (CA) и удостоверяет идентичность пользователя. В этом сертификате хранится личный ключ пользователя, связанный с данным интернет-сертификатом.

Наконец, личный ключ и ключи шифрования в ID-файле шифруются ключом, сформированным на основе пароля пользователя, чтобы только владелец имел доступ к идентификатору. Общедоступная информация, такая, как имя пользователя и общий ключ, не шифруется.

На рис. 3.2 показана структура Notes ID, в которой есть как стандартная часть, создаваемая для каждого Notes ID, так и необязательная (дополнительная) часть (которую можно добавить в Notes ID позже).

Здесь нужно обратить внимание на 2 момента:

• Если пользователь находится в процессе обработки запроса на создание нового личного ключа или на смену имени, временная информация также заносится в ID-файл. Если личный ключ Notes был изменен, старая информация также хранится в ID-файле для обратной совместимости (например, эта информация может понадобиться вам для чтения старой зашифрованной почты).
  

  
  Рис. 3.2. Структура Notes ID
• У некоторых пользователей, которые скачивают, инсталлируют и запускают клиент Notes, может возникнуть некоторая путаница. В данный момент запускается. процесс конфигурирования клиента и для пользователя генерируется новый. Notes ID, для которого, очевидно, не требуется ID сертификатора. Это простой. Notes ID, который содержит очень мало информации и совершенно бесполезен в тот момент, когда клиент Notes будет пытаться соединиться с сервером домена.

Сертификаты Notes

При аутентификации Lotus Notes в основном используются сертификаты Notes, которые хранятся в Notes ID.

Проще говоря, сертификат - это электронная "печать", которая обозначает доверительные взаимоотношения между сущностями мира Notes. Если более точно, то сертификат - это уникальное сообщение с цифровой подписью, которую сертификатор добавляет в файл Notes ID, идентифицирующий пользователя или сервер. Хотя пользователь может применять и хранить как сертификаты Notes, так и интернет-сертификаты, оставшуюся часть подраздела мы посвятили сертификатам Notes.

Когда пользователь Lotus Notes пытается соединиться с сервером Lotus Domino, независимо от того, будет ли это почтовый сервер или любой другой сервер организации, этому человеку понадобиться сертификат, идентифицирующий его (или ее) для сервера, и серверу для идентификации пользователя также нужен сертификат. Следовательно, клиент Notes и сервер Domino, участвующие в процессе аутентификации, представляют свои сертификаты друг другу. Проверяя этот сертификат, клиент Notes идентифицирует и аутентифицирует сервер Domino, а сервер Domino идентифицирует и аутентифицирует клиент Notes.

Чтобы обеспечить установление доверительных взаимоотношений, в сертификатах должны содержаться несколько видов информации. Сертификат Notes, как и Notes ID, содержит несколько элементов, в частности:

• Имя сертификатора, выпустившего сертификат.
• Имя пользователя или сервера, для которого выпущен сертификат.
• Общий ключ, хранящийся как в Domino Directory, так и в ID-файле. В Notes общий ключ (public key) используется для зашифровывания сообщений, посылаемых владельцу общего ключа, и для проверки подписи владельца ID.
• Цифровую подпись.
• Дату окончания действия сертификата.

Затем все это сертифицируется, т. е. снабжается цифровой подписью сертификатора при помощи личного ключа сертификатора, с целью подтверждения аутентичности. На рис. 3.3 показана структура сертификата Notes, хранящегося в Notes ID.

Как уже говорилось, сертификаты хранятся в файлах Notes ID. Также они хранятся в документах Person, Server и Certifier в Domino Directory. Принимая во внимание содержимое файлов Notes ID, лучше всего рассматривать их как что-то вроде специализированной базы данных для хранения сертификатов Notes и пар общий/личный ключ. Эта база данных затем шифруется при помощи пароля пользователя.

Рис. 3.3. Структура сертификата Notes

Когда серверы и пользователи проходят регистрацию, Domino автоматически создает сертификат Notes для каждого файла ID пользователя и сервера. Эти сертификаты Notes имеют срок действия, и это означает, что Notes ID необходимо повторно сертифицировать, когда подходит дата окончания действия.

Кроме того, если изменяется имя пользователя или сервера, соответствующий Notes ID нужно также снова сертифицировать, чтобы новый сертификат был правильно связан с общим ключом и новым именем.

Пароли Notes

Главное назначение и область применения Notes ID - это аутентификация. Мы не собираемся здесь описывать весь процесс аутентификации с использованием Notes ID. Лучше вам обратиться за этим к предыдущей публикации этой серии, Lotus Security Handbook, SG24-70 17.

Давайте рассмотрим основы использования паролей и узнаем, почему потерянный пароль делает Notes ID совершенно бесполезным.

Пароль, связываемый с ID пользователя при регистрации, является механизмом защиты файла Notes ID от несанкционированного применения. Пользователь Notes, пытающийся применить файл Notes ID, должен будет ввести пароль доступа к этому файлу.

В отношении пароля Notes ID существует определенная путаница. Он применяется исключительно для того, чтобы разблокировать файл Notes ID пользователя, и ни для чего больше. Для самой аутентификации пользователя применяется пара ключей, содержащаяся в этом файле.

Пользователь может иметь несколько копий своего файла Notes ID, и эти разные копии будут иметь разные пароли. По сути, это означает, что для изменения пароля пользователь должен знать существующий пароль для каждой копии ID.

Хотя в предыдущей версии Notes появилась возможность восстановления пароля, по-прежнему хорошей практикой является создание резервных копий ID-файлов и запоминание их паролей. Однако в тех случаях если это невозможно или если политика безопасности организации запрещает создание такого депонента, то, если пользователь забыл пароль, на помощь приходит функция восстановления ID.