30548

Криптографической системы с открытым ключом

Доклад

Математика и математический анализ

Основные компоненты PKI Удостоверяющий центр Сертификат открытого ключа Регистрационный центр Репозиторий Архив сертификатов Конечные пользователи Основные задачи Основные задачи системы информационной безопасности которые решает инфраструктура управления открытыми ключами: обеспечение конфиденциальности информации; обеспечение целостности информации; обеспечение аутентификации пользователей и ресурсов к которым обращаются пользователи; обеспечение возможности подтверждения совершенных пользователями действий с...

Русский

2013-08-24

25.48 KB

11 чел.

На доске:

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1.  закрытый ключ известен только его владельцу;
  2.  удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3.  никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4.  удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные компоненты PKI

  1.  Удостоверяющий центр 
  2.  Сертификат открытого ключа
  3.  Регистрационный центр
  4.  Репозиторий
  5.  Архив сертификатов
  6.  Конечные пользователи

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  1.  обеспечение конфиденциальности информации;
  2.  обеспечение целостности информации;
  3.  обеспечение аутентификации пользователей и ресурсов, к которым обращаются    пользователи;
  4.  обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость

Ответ

Основными целями развертывания инфраструктуры PKI являются:

  1.  Внедрение защищённых механизмов аутентификации — смарт-карты, сертификаты для аутентификации в IIS/VPN;
  2.  Внедрение защищённых механизмов сетевого взаимодействия — L2TP, SSL, IPsec;
  3.  Обеспечение не отрицания авторства, неизменности передаваемых по сети данных:
  4.  Внедрение защищённой почты с шифрованием и/или подписью писем;
  5.  Внедрение цифровых подписей документов и файлов;
  6.  Внедрение защищённых файловых хранилищ с шифрованием особо конфиденциальной информации.

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А   желает отправить конфиденциальное сообщение пользователю В , с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В   и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ)  ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа   (или просто сертификатом) и более детально обсуждается в лекции 6. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ   - в этом смысле удостоверяющий центр   уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ   не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа.

Удостоверяющий центр   - главный управляющий компонент PKI - выполняет следующие основные функции:

*  формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданным   или самоподписанным  ;

*  выпускает (то есть создает и подписывает) сертификаты открытых ключей   подчиненных удостоверяющих центров   и конечных субъектов   PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*  поддерживает реестр сертификатов   (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ  ;

*  публикует информацию о статусе сертификатов и списков САС

Сертификат открытого ключа 

 

Сертификат открытого ключа   подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата    (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

*  серийный номер сертификата Certificate Serial Number  ;

*  идентификатор алгоритма подписи Signature Algorithm Identifier  ;

*  имя издателя Issuer Name  ;

*  период действия Validity (Not Before/After)  ;

*  открытый ключ субъекта Subject Public Key Information  ;

*  имя субъекта сертификата Subject Name .

Под субъектом сертификата   понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена

Регистрационный центр

Регистрационный центр (РЦ)   является необязательным компонентом PKI

Обычно РЦ   получает от удостоверяющего центра   полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ   и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ

УЦ   может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ   выдает сертификат РЦ   и отличает его по имени и открытому ключу. РЦ   выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ   на сообщении или документе, УЦ   полагается на надежность предоставленной РЦ   информации.

РЦ   объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ   может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ   не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ   сам выполняет функции РЦ

Репозиторий сертификатов

Репозиторий   - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов    (термин " реестр сертификатов   ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий   значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию   предъявляются следующие требования:

*  простота и стандартность доступа;

*  регулярность обновления информации;

*  встроенная защищенность;

*  простота управления;

*  совместимость с другими хранилищами (необязательное требование).

Репозиторий   обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов   и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Архив сертификатов

На архив сертификатов   возлагается функция долговременного хранения (от имени УЦ  ) и защиты информации обо всех изданных сертификатах. Архив   поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив   подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив   должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты

Конечные субъекты , или пользователи , PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.


 

А также другие работы, которые могут Вас заинтересовать

49844. Аналитическая копия работы Джорджо де Кирико 11.13 MB
  Джорджо де Кирико создатель практик и теоретик. Де Кирико The Seer пророк. В итоге выбор в качестве основного предмета исследования творчества Джорджо Де Кирико на фоне западноевропейских и частично отечественных реализмов 1920-1930х гг.
49845. Аналитическая копия работы Дж. Моранди «Красный натюрморт» 4.3 MB
  Основная тематика творчества метафизиков – геометрия простых предметов, взаимоотношения живого и неживого – находит выражение в натюрмортах или в фантастических композициях с фигурами, составленными из манекенов и портновских лекал.
49846. Виды механической обработки материалов резанием 592.5 KB
  Характерным признаком его является непрерывность резания. Процесс фрезерования отличается от других процессов резания тем что каждый зуб фрезы за один ее оборот находится в работе относительно малый промежуток времени. Большую часть оборота зуб фрезы проходит не производя резания. Физические основы процесса резания: деформация при стружкообразовании сила резания и тепловые явления.
49847. ВЕРБАЛІЗАЦІЯ КОНЦЕПТУ ЖИТТЯ В ПАРЕМІЙНІЙ КАРТИНІ СВІТУ 166.5 KB
  У світлі сьогоденної антропоцентричної парадигми лінгвістики проблема взаємодії мови і культури набуває особливої актуальності. Мова акумулює надбання культури етносу, тому в ній втілені світогляд народу, його досвід, традиції тощо. Важливим терміном для дослідження взаємодії мови і культури є концепт.
49848. ИНФОРМАТИКА. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ 130.5 KB
  Информационные системы и технологии направлению подготовки дипломированного специалиста по специальности Информационные системы Общие положения Написание и защита курсовых работ важнейшая форма самостоятельной учебной и научной работы студентов осуществляемая под руководством преподавателя. Целью курсовой работы является подготовка студента к написанию и защите дипломной работы. Допускается вхождение курсовой работы в дипломную работу как в виде целостного раздела так и в виде отдельных фрагментов. Кроме того выполнение...
49849. ИЗУЧЕНИЕ ВЕНТИЛЬНОГО ФОТОЭФФЕКТА 137.5 KB
  В области границы раздела полупроводников р-типа и n-типа образуется так называемый запирающий слой, обедненный основными носителями заряда - электронами со стороны электронного полупроводника и дырками - со стороны дырочного полупроводника.
49850. Операции с одномерными массивами в Delphi 929.12 KB
  Бурное развитие вычислительной техники, потребность в эффективных средствах разработки программного обеспечения привели к появлению систем программирования, ориентированных на так называемую быструю разработку, среди которых можно выделить Borland Delphi и Microsoft Visual Basic. В основе систем быстрой разработки (RAD-систем, Rapid Application Development — среда быстрой разработки приложений)
49851. Проект подстанции для ткацкого цеха №3 предприятия 2.17 MB
  Определяем установленную активную мощность оборудования цеха. Определяем установленную активную мощность технологического оборудования: Ру. Определяем активную установленную мощность для освещения: Р у. Определяем полную активную установленную мощность цеха: Р у = Ру.