30548

Криптографической системы с открытым ключом

Доклад

Математика и математический анализ

Основные компоненты PKI Удостоверяющий центр Сертификат открытого ключа Регистрационный центр Репозиторий Архив сертификатов Конечные пользователи Основные задачи Основные задачи системы информационной безопасности которые решает инфраструктура управления открытыми ключами: обеспечение конфиденциальности информации; обеспечение целостности информации; обеспечение аутентификации пользователей и ресурсов к которым обращаются пользователи; обеспечение возможности подтверждения совершенных пользователями действий с...

Русский

2013-08-24

25.48 KB

11 чел.

На доске:

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1.  закрытый ключ известен только его владельцу;
  2.  удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3.  никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4.  удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные компоненты PKI

  1.  Удостоверяющий центр 
  2.  Сертификат открытого ключа
  3.  Регистрационный центр
  4.  Репозиторий
  5.  Архив сертификатов
  6.  Конечные пользователи

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  1.  обеспечение конфиденциальности информации;
  2.  обеспечение целостности информации;
  3.  обеспечение аутентификации пользователей и ресурсов, к которым обращаются    пользователи;
  4.  обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость

Ответ

Основными целями развертывания инфраструктуры PKI являются:

  1.  Внедрение защищённых механизмов аутентификации — смарт-карты, сертификаты для аутентификации в IIS/VPN;
  2.  Внедрение защищённых механизмов сетевого взаимодействия — L2TP, SSL, IPsec;
  3.  Обеспечение не отрицания авторства, неизменности передаваемых по сети данных:
  4.  Внедрение защищённой почты с шифрованием и/или подписью писем;
  5.  Внедрение цифровых подписей документов и файлов;
  6.  Внедрение защищённых файловых хранилищ с шифрованием особо конфиденциальной информации.

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А   желает отправить конфиденциальное сообщение пользователю В , с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В   и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ)  ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа   (или просто сертификатом) и более детально обсуждается в лекции 6. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ   - в этом смысле удостоверяющий центр   уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ   не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа.

Удостоверяющий центр   - главный управляющий компонент PKI - выполняет следующие основные функции:

*  формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданным   или самоподписанным  ;

*  выпускает (то есть создает и подписывает) сертификаты открытых ключей   подчиненных удостоверяющих центров   и конечных субъектов   PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*  поддерживает реестр сертификатов   (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ  ;

*  публикует информацию о статусе сертификатов и списков САС

Сертификат открытого ключа 

 

Сертификат открытого ключа   подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата    (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

*  серийный номер сертификата Certificate Serial Number  ;

*  идентификатор алгоритма подписи Signature Algorithm Identifier  ;

*  имя издателя Issuer Name  ;

*  период действия Validity (Not Before/After)  ;

*  открытый ключ субъекта Subject Public Key Information  ;

*  имя субъекта сертификата Subject Name .

Под субъектом сертификата   понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена

Регистрационный центр

Регистрационный центр (РЦ)   является необязательным компонентом PKI

Обычно РЦ   получает от удостоверяющего центра   полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ   и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ

УЦ   может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ   выдает сертификат РЦ   и отличает его по имени и открытому ключу. РЦ   выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ   на сообщении или документе, УЦ   полагается на надежность предоставленной РЦ   информации.

РЦ   объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ   может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ   не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ   сам выполняет функции РЦ

Репозиторий сертификатов

Репозиторий   - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов    (термин " реестр сертификатов   ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий   значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию   предъявляются следующие требования:

*  простота и стандартность доступа;

*  регулярность обновления информации;

*  встроенная защищенность;

*  простота управления;

*  совместимость с другими хранилищами (необязательное требование).

Репозиторий   обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов   и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Архив сертификатов

На архив сертификатов   возлагается функция долговременного хранения (от имени УЦ  ) и защиты информации обо всех изданных сертификатах. Архив   поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив   подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив   должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты

Конечные субъекты , или пользователи , PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.


 

А также другие работы, которые могут Вас заинтересовать

21551. Машины цепного переплетения ниток 1.22 MB
  1 Общая характеристика машин цепного стежка. В связи с появлением нетрадиционных материалов для пошива а также с тенденцией автоматизации основных и вспомогательных операций спрос на машины цепного стежка неизменно высок. Преимущества машин цепного стежка: Уменьшенное истирание верхней нити при подаче в машину вследствие отсутствия операции обвода её вокруг шпуледержателя. Недостатки машин цепного стежка: повышенная распускаемость строчки вследствие открытости переплетения и существенное увеличение расхода ниток в 16 23 раза на к...
21552. Устройство машины типа ЭЗМ с пластинчатым ножом 2.53 MB
  Абалкин ЛИ 1 Устройство машины типа ЭЗМ с пластинчатым ножом. 11 дана принципиальная схема этой машины на которой обозначено: Трёхфазный электродвигатель Кривошип с противовесом Шатун в верхней головке которого шариковый подшипник Корпус из пластика или алюминия Ползун в направляющих Пластинчатый нож закреплённый в ползуне Платформа машины Ролики на игольчатых подшипниках 4 шт. Паспортные данные машины ЭЗМ316 Высота настила до 16 см Частота вращения кривошипа n = 2700 об мин Ход ножа...
21553. Устройство механизма иглы машины КУР - 31 4.16 MB
  Устройство механизма иглы машины КУР 31. Технологическое назначение механизма ввести верхнюю нить в материалы и образовать петлюнапуск. Кинематическое назначение механизма преобразовать вращение главного вала в возвратнопоступательное движение игловодителя На рисунке 1 дана пространственная структурная схема механизма иглы машины ряда КУР31. 8 иглодержатель 9 игловодитель 10 челнок К1 и К2 калибры для выполнения регулировок механизма А отверстие в рукаве для калибра К1 l эль длина калибра К2.
21554. Международные валютно-кредитные и финансовые отношения 115.5 KB
  Первоначально возникла национальная валютная система это форма организации валютных отношений страны сложившаяся исторически и закрепленная национальным законодательством а так же обычаями международного права. На национальную валютную систему возлагается ряд функций: формирование и использование валютных ресурсов; обеспечение внешнеэкономических связей страны; обеспечение оптимальных условий функционирования национального хозяйства. Региональная валютная система это форма организации валютных отношений ряда государств...
21555. Международные экономические организации 90 KB
  Необходимость регулирования мировой экономики на межгосударственном уровне Интернационализация хозяйственной жизни рост взаимозависимости между странами а также возникновение глобальных проблем объективно предопределяют необходимость активного сознательного регулирования мирового хозяйства. В период между двумя мировыми войнами не было широкого распространения межгосударственного регулирования мировой экономики. При голосовании принципиальных вопросов США могли контролировать принятие решений ибо обладали большим количеством голосов в...
21556. Международный рынок услуг 221 KB
  Международный рынок услуг. Международный рынок услуг. План: Сущность и сегменты международного рынка услуг. Особенности формирования и развития международного рынка услуг.
21558. Ценообразование в международной торговле 187.5 KB
  План: Определение мировой цены и объемов торговли Распределение выигрыша от международной торговли Сущность и основные виды мировых цен Условия торговли конъюнктура мирового рынка Международное ценообразование это формирование цен за пределами страны где находится предприятие производитель товара. Распределение выигрыша от международной торговли как внутри страны так и между странами в конечном итоге определяется тем на каком уровне устанавливаются цены на те товары которыми страны торгуют между собой и каковы объемы торговли....
21559. Система современных международных экономических отношений 218.5 KB
  Основы международной торговли. Основы международной торговли. Понятие объекты и субъекты международной торговли Международная торговля представляет собой одну из форм международных экономических отношений которая. Международная торговля это сфера товарноденежных отношений представляющая собой совокупность внешней торговли всех стран мира.