Шифрование «PGP» ещё используется, но отвечает ли оно современным корпоративным требованиям?

24.12.2013 | 10:25 Аналитика

Symantec, владеющая PGP, продолжает развивать его, но некоторые предприятия не хотят заниматься управлением сертификатами

Шифрование PGP, известное старожилам индустрии как «Pretty Good Privacy», изобретенное Филом Циммерманом в 1991 году, с тех пор продававшееся много раз различным компаниям, и оказавшееся в руках Symantec в 2010 году. Поскольку это широко используемый винтажный бренд, отвечает ли PGP-шифрование с открытым ключом современным корпоративным требованиям, учитывая рост облачных вычислений и мобильных устройств?

Руководители предприятий не имеют единого мнения по этому поводу. PGP уже более двух десятков лет, и, несмотря на то, что Symantec изменил название PGP на «Symantec Encryption», все по-прежнему знают, что оно «работает на PGP технологии». Кроме того, есть «OpenPGP» — стандарт Инженерного Совета Интернета (IETF), поборником которого является Фил Циммерман, который может быть реализован компаниями без лицензирования.

Symantec отказывается обсуждать количество клиентов в сфере PGP, но указывает на то, что Symantec инвестировала ресурсы в разработку того, что она унаследовала вместе с PGP. Например, Symantec предлагает клиентские приложения для Apple iOS и для Google Android, являющиеся частью ПО для шифрования электронной почты Desktop Email Encryption. 

Symantec утверждает, что это программное обеспечение шифрует электронную почту непосредственно на машине конечного пользователя. В результате, согласно Symantec, зашифрованная почта поступает на устройство пользователя, и для ответа используется приложение Symantec Mail Encryptor.

Но, несмотря на такого рода PGP-связанные разработки, существует камень преткновения управления цифровыми сертификатами, необходимыми для шифрования в начальной точке  и для дешифровки в конечной точке, особенно когда дело доходит до безопасного обмена файлами между двумя отдельными компаниями, являющимися деловыми партнерами.
«Это слишком проблематично», говорит Юваль Илуз, помощник вице-президента и руководитель глобальной инфраструктуры и IT-операций по сетевому оборудованию  компании ECI Telecom об управлении цифровыми сертификатами между деловыми партнерами. «Это не то, что нужно сегодня. Поставщики меняются слишком часто».

Илуз говорит, что его компания перешла с основанного на PGP программного обеспечения Symantec Encryption шифрования электронной почты и обмена файлами, которое фирма когда-то использовала для безопасной связи с деловыми партнерами. Вместо этого, в ECI принят другой тип обмена — RSAccess — продукт от Safe-T, в котором два узла имеют настроенный на каждой стороне брандмауэр для поддержки запросов конфиденциальных данных от поставщиков, деловых партнеров и клиентов. Он также может создавать каталоги для облачного сервиса Dropbox. Всё шифруется, но зависит не от сертификатов, а от  надежных паролей для получения информации, говорит он.

Но ECI всё ещё использует Symantec Encryption для некоторых задач, в частности, для  работы внутри компании. «Мы всё ещё используем шифрование PGP для ноутбуков», говорит он, выразив уверенность в безопасности и управляемости данного решения.
С момента приобретения PGP, Symantec выпустила продукт для безопасного файлообмена — File Share Encryption, интегрированный с Dropbox. Symantec говорит, что шифрование включается просто установкой флажка в управлении сервером, так что всё, что отправляется в Dropbox, автоматически шифруется соответствующими ключами.

Однако не все чувствуют потребность ухода от управления сертификатами с деловыми партнерами.

«У нас много деловых партнеров», говорит Дилан Тафт, системный инженер больницы Rochester General Hospital. Он полагается на управление отдельными ключами шифрования на основе PGP для безопасного обмена файлами. «PGP не является проблемой».

Больница использует файловую систему Ipswitch MOVEit, предполагающую использование протокола OpenPGP. Больница использует то, что называется MOVEit Central от Ipswitch для обмена документами между компаниями. «PGP работает на уровне приложений», говорит Тафт, заявив, что больница может шифровать документы с помощью PGP-ключа, а  получатель может расшифровать их с помощью своего ключа. «Данные, которые мы отправляем — это большие файлы, и это не является проблемой».

Некоторые жалобы на Symantec Encryption связаны с необходимостью ежегодного продления  сертификатов VeriSign для того, чтобы иметь возможность расшифровать старую электронную почту, если она хранится в зашифрованном виде в течение длительного периода времени. VeriSign также была приобретена Symantec, как и PGP. Всё что касается старого бренда VeriSign, теперь официально именуется Symantec «работает на технологии VeriSign».
Отвечая на вопрос, является ли общей практикой в Symantec обновление сертификатов, связанных с продуктами Symantec Encryption (PGP), Symantec ответила: «Нет, потребность в продление сертификатов основана на том, что пользователи используют сертификаты VeriSign вместо самоподписанных сертификатов, созданных с помощью Symantec Encryption Management Server».

Symantec отмечает: «Оба продукта — Symantec Gateway Email Encryption и Symantec Desktop  позволяют использование сертификатов для хранения ключей. Сертификаты являются самоподписываемыми, создаваемыми и подписываемыми Symantec Encryption Management Server».

Symantec отмечает, что использование самоподписанных сертификатов вместо доверенных корневых сертификатов, позволит устранить необходимость оплаты за обновление сертификатов.

Symantec сохраняет некоторые из старых традиций PGP, держа исходный код в открытом доступе для экспертной оценки.