30548

Криптографической системы с открытым ключом

Доклад

Математика и математический анализ

Основные компоненты PKI Удостоверяющий центр Сертификат открытого ключа Регистрационный центр Репозиторий Архив сертификатов Конечные пользователи Основные задачи Основные задачи системы информационной безопасности которые решает инфраструктура управления открытыми ключами: обеспечение конфиденциальности информации; обеспечение целостности информации; обеспечение аутентификации пользователей и ресурсов к которым обращаются пользователи; обеспечение возможности подтверждения совершенных пользователями действий с...

Русский

2013-08-24

25.48 KB

11 чел.

На доске:

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1.  закрытый ключ известен только его владельцу;
  2.  удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3.  никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4.  удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные компоненты PKI

  1.  Удостоверяющий центр 
  2.  Сертификат открытого ключа
  3.  Регистрационный центр
  4.  Репозиторий
  5.  Архив сертификатов
  6.  Конечные пользователи

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  1.  обеспечение конфиденциальности информации;
  2.  обеспечение целостности информации;
  3.  обеспечение аутентификации пользователей и ресурсов, к которым обращаются    пользователи;
  4.  обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость

Ответ

Основными целями развертывания инфраструктуры PKI являются:

  1.  Внедрение защищённых механизмов аутентификации — смарт-карты, сертификаты для аутентификации в IIS/VPN;
  2.  Внедрение защищённых механизмов сетевого взаимодействия — L2TP, SSL, IPsec;
  3.  Обеспечение не отрицания авторства, неизменности передаваемых по сети данных:
  4.  Внедрение защищённой почты с шифрованием и/или подписью писем;
  5.  Внедрение цифровых подписей документов и файлов;
  6.  Внедрение защищённых файловых хранилищ с шифрованием особо конфиденциальной информации.

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А   желает отправить конфиденциальное сообщение пользователю В , с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В   и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ)  ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа   (или просто сертификатом) и более детально обсуждается в лекции 6. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ   - в этом смысле удостоверяющий центр   уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ   не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа.

Удостоверяющий центр   - главный управляющий компонент PKI - выполняет следующие основные функции:

*  формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданным   или самоподписанным  ;

*  выпускает (то есть создает и подписывает) сертификаты открытых ключей   подчиненных удостоверяющих центров   и конечных субъектов   PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*  поддерживает реестр сертификатов   (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ  ;

*  публикует информацию о статусе сертификатов и списков САС

Сертификат открытого ключа 

 

Сертификат открытого ключа   подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата    (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

*  серийный номер сертификата Certificate Serial Number  ;

*  идентификатор алгоритма подписи Signature Algorithm Identifier  ;

*  имя издателя Issuer Name  ;

*  период действия Validity (Not Before/After)  ;

*  открытый ключ субъекта Subject Public Key Information  ;

*  имя субъекта сертификата Subject Name .

Под субъектом сертификата   понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена

Регистрационный центр

Регистрационный центр (РЦ)   является необязательным компонентом PKI

Обычно РЦ   получает от удостоверяющего центра   полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ   и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ

УЦ   может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ   выдает сертификат РЦ   и отличает его по имени и открытому ключу. РЦ   выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ   на сообщении или документе, УЦ   полагается на надежность предоставленной РЦ   информации.

РЦ   объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ   может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ   не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ   сам выполняет функции РЦ

Репозиторий сертификатов

Репозиторий   - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов    (термин " реестр сертификатов   ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий   значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию   предъявляются следующие требования:

*  простота и стандартность доступа;

*  регулярность обновления информации;

*  встроенная защищенность;

*  простота управления;

*  совместимость с другими хранилищами (необязательное требование).

Репозиторий   обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов   и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Архив сертификатов

На архив сертификатов   возлагается функция долговременного хранения (от имени УЦ  ) и защиты информации обо всех изданных сертификатах. Архив   поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив   подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив   должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты

Конечные субъекты , или пользователи , PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.


 

А также другие работы, которые могут Вас заинтересовать

42923. Компьютерные вирусы: классификация, проблемы борьбы с ними 613.68 KB
  Web 16 О Доктор Веб 16 Основной логотип Dr.origin Вредоносная программа детектированная с помощью технологии Origins Trcing технология несигнатурного поиска разработанная специалистами Доктор Веб Вирусы для разных ОС В данную группу объединяют вредоносные программы разработанные для определенных операционных систем ОС.Web О Доктор Веб Доктор Веб российский разработчик средств информационной безопасности. Антивирусная продукция компании Доктор Веб создана на основе собственной технологии.
42924. Синтезирование и моделирование широкополосного трансформатора сопротивления, выполненного на четвертьволновых линиях передачи 222.05 KB
  В результате получить конструкцию трансформатора сопротивлений соответствующую требованиям установленным заданием и ОСТом. Этапы выполнения работы: Синтез трансформатора сопротивлений в распределенном электрическом элементном базисе. Моделирование Подстройка трансформатора сопротивлений согласно требованиям задания. Подпись Дата Лист 4 НГТУ Rг = 10 Ом внутреннее сопротивление источника сигнала; Rн = 50 Ом сопротивление нагрузки; fн = 1ГГц fв = 2ГГц диапазон частот; KстU = 12 коэффициент стоячей волны напряжения на...
42925. Государственное регулирование рыночной экономики 113.59 KB
  Необходимость вмешательства национального государства в рыночную экономику. Подходы российского государства к макроэкономической политике стратегия тактика. Во всем мире функции государства в управлении экономикой значительно расширились в течение ХХ века особенно в промышленно развитых странах. Необходимость вмешательства национального государства в рыночную экономику.
42926. Сестринский процесс при ревматизме 644 KB
  На данный момент по данным статистики ВОЗ ревматизм остается одной из главных причин инвалидизации трудоспособного населения во многих развивающихся странах, тогда как в развитых странах частота встречаемости заболевания постепенно снижается. По данным статистики: за 2008 год на территории РФ было зарегистрировано 1.929 чел. с острой ревматической лихорадкой, 12.291 чел. с хроническими ревматическими заболеваниями сердца, 8.831 чел. с ревматическими пороками клапанов.
42927. Управление проектами 61.84 KB
  Общая характеристика управления проектами 10 2 2 6 2. Обоснование целесообразности проекта 10 8 2 6 6 3. Основные формы организационной структуры проекта 10 4 4 6 4.
42928. Краткая характеристика предприятия ОАО «Германий» 111.27 KB
  За эти годы предприятие прошло путь от поставщика продукции на внутренний рынок до экспортера всей номенклатуры выпускаемой продукции в США Израиль Японию страны Европы и Азии. В настоящее время предприятие ГЕРМАНИЙ единственное в России имеющее полный цикл переработки широкую номенклатуру продукции и большие производственные мощности. Команда профессионалов создает продукцию и услуги индивидуально учитывая пожелания потребителей по срокам поставки и качеству продукции ориентируясь на их планы в области бизнеса. до готовой...
42929. Сестринский процесс при стенокардии 173.99 KB
  Предмет изучения: сестринский процесс при стенокардии. Цель исследования: изучение сестринского процесса при стенокардии. Для достижения поставленной цели исследования необходимо изучить: Этиологию и предрасполагающие факторы стенокардии; Клиническую картину и особенности диагностики; Методы исследования и подготовку к ним; Принципы лечения и профилактику стенокардии; Манипуляции выполняемые медицинской сестрой; Особенности сестринского процесса при стенокардии. Нестабильная стенокардия: впервые возникшая стенокардия;...
42930. Расчет двухкаскадного резистивного усилителя на биполярных транзисторах 1.87 MB
  Расчет двухкаскадного резистивного усилителя на биполярных транзисторах пояснительная записка к курсовой работе по электронике Студент гр.130601 Аннотация Данная пояснительная записка написана к курсовой работе по дисциплине Электроника для варианта 03 и содержит в себе результаты расчета резистивного усилителя на биполярных транзисторах. В качестве анализируемого усилителя выступает двухкаскадный усилитель на кремниевых биполярных транзисторах основные параметры которого рассчитываются в одной из...
42931. Анализ организационно-правовых форм предприятий и их особенностей 69.31 KB
  Центральным звеном рыночной экономики в котором принимаются и осуществляются решения об использовании ограниченного количества благ с учётом обстоятельств внешней среды которые не могут быть изменены по воле принимающих решения лиц выбора вариантов решения проблем альтернатив развития или независимых друг от друга вариантов действия направленных на достижение желаемых конечных результатов системы целей являются хозяйствующие субъекты организации предприятия домашние хозяйства...