Выбираю инфраструктуру
Задачка – запустить ряд секурных сервисов, таких как:
1) Использование электронной подписи для корпоративной и внешней вереписки.
2) Использование шифрования писем и файлов для корпоративной и внешней вереписки.
3) Хранение писем в почтовом ящике в зашифрованном виде.
4) Шифрование локальных данных (файлов, разделов и т.п.).
5) Наличие и контроль использования агентов восстановления.
6) Поддержка использования smart-карт и usb-токенов для авторизации/хранения ключей (в т.ч. использовать их для авторизации на клиентском АРМ).
Свойства системы:
1) Возможность разделение ролей администраторов системы и администраторов безопасности.
2) Интеграция с используемыми в компании почтовыми клиентами и/или максимальная прозрачность (удобство) для пользователя.
3) Возможность подписи/шифрования данных в других системах (отдельных файлов, кусков текста и т.п.).
4) Желательно наличие возможности настройки правил (для определенных получателей требование использования подписи/шифрования и наоборот).
5) Желательно наличие возможности централизованного управления ПО.
6) Желательно наличие русскоязычного интерфейса (в клиентском ПО).
7) Желательно единое (минимальный набор ПО) решение для всех задач.
8 Поддержка авторитетных центров сертификации (неподконтрольных участникам обмена).
Стою перед выбором, на чем инфраструктуру разворачивать – PGP или MS?
Сам предпочитаю PGP, но есть подозрение, что на MS PKI получится более "корпоративной".... (в конторе все на Windows). Далее будем сеть дробить, для авторизации на сервера и системы сертификаты использовать, соединения шифровать и т.п.
Собственно вопрос – поделитесь мыслями о сравнении решений.
Посмотрите связку PGP Universal S500 + PGP SDK + PKI на Х.509.
Эх... мне бы какие-нить слова с другой стороны – никто не пробовал весь функционал на MS разворачивать?
PKI – имеется ввиду CA (уд. центр) от MS?
И вообще – я пребываю в уверенности, что используя MS Windows, Office, Exchange в сети AD у меня уже есть сами инструменты (подписать, зашифровать и т.п.) и все это прозрачно и удобно... ???
Да любой CA от кого угодно. Он выполняет вспомогательную роль. Вообще можно и без него обойтись. PGP Universal в полной мере поддерживает Х.509.
Вы ещё пользуетесь инструментарием Microsoft? Тогда мы идём к Вам! ;)
Если Вы считаете решения MS достаточными для обеспечения необходимого Вам уровня безопасности, то вся инфраструктура у Вас уже есть. Я же Ваших требований не знаю. От кого Вы там защищаете, что...