30548

Криптографической системы с открытым ключом

Доклад

Математика и математический анализ

Основные компоненты PKI Удостоверяющий центр Сертификат открытого ключа Регистрационный центр Репозиторий Архив сертификатов Конечные пользователи Основные задачи Основные задачи системы информационной безопасности которые решает инфраструктура управления открытыми ключами: обеспечение конфиденциальности информации; обеспечение целостности информации; обеспечение аутентификации пользователей и ресурсов к которым обращаются пользователи; обеспечение возможности подтверждения совершенных пользователями действий с...

Русский

2013-08-24

25.48 KB

11 чел.

На доске:

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1.  закрытый ключ известен только его владельцу;
  2.  удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3.  никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4.  удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные компоненты PKI

  1.  Удостоверяющий центр 
  2.  Сертификат открытого ключа
  3.  Регистрационный центр
  4.  Репозиторий
  5.  Архив сертификатов
  6.  Конечные пользователи

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  1.  обеспечение конфиденциальности информации;
  2.  обеспечение целостности информации;
  3.  обеспечение аутентификации пользователей и ресурсов, к которым обращаются    пользователи;
  4.  обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость

Ответ

Основными целями развертывания инфраструктуры PKI являются:

  1.  Внедрение защищённых механизмов аутентификации — смарт-карты, сертификаты для аутентификации в IIS/VPN;
  2.  Внедрение защищённых механизмов сетевого взаимодействия — L2TP, SSL, IPsec;
  3.  Обеспечение не отрицания авторства, неизменности передаваемых по сети данных:
  4.  Внедрение защищённой почты с шифрованием и/или подписью писем;
  5.  Внедрение цифровых подписей документов и файлов;
  6.  Внедрение защищённых файловых хранилищ с шифрованием особо конфиденциальной информации.

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А   желает отправить конфиденциальное сообщение пользователю В , с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В   и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ)  ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа   (или просто сертификатом) и более детально обсуждается в лекции 6. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ   - в этом смысле удостоверяющий центр   уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ   не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа.

Удостоверяющий центр   - главный управляющий компонент PKI - выполняет следующие основные функции:

*  формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданным   или самоподписанным  ;

*  выпускает (то есть создает и подписывает) сертификаты открытых ключей   подчиненных удостоверяющих центров   и конечных субъектов   PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*  поддерживает реестр сертификатов   (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ  ;

*  публикует информацию о статусе сертификатов и списков САС

Сертификат открытого ключа 

 

Сертификат открытого ключа   подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата    (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

*  серийный номер сертификата Certificate Serial Number  ;

*  идентификатор алгоритма подписи Signature Algorithm Identifier  ;

*  имя издателя Issuer Name  ;

*  период действия Validity (Not Before/After)  ;

*  открытый ключ субъекта Subject Public Key Information  ;

*  имя субъекта сертификата Subject Name .

Под субъектом сертификата   понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена

Регистрационный центр

Регистрационный центр (РЦ)   является необязательным компонентом PKI

Обычно РЦ   получает от удостоверяющего центра   полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ   и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ

УЦ   может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ   выдает сертификат РЦ   и отличает его по имени и открытому ключу. РЦ   выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ   на сообщении или документе, УЦ   полагается на надежность предоставленной РЦ   информации.

РЦ   объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ   может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ   не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ   сам выполняет функции РЦ

Репозиторий сертификатов

Репозиторий   - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов    (термин " реестр сертификатов   ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий   значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию   предъявляются следующие требования:

*  простота и стандартность доступа;

*  регулярность обновления информации;

*  встроенная защищенность;

*  простота управления;

*  совместимость с другими хранилищами (необязательное требование).

Репозиторий   обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов   и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Архив сертификатов

На архив сертификатов   возлагается функция долговременного хранения (от имени УЦ  ) и защиты информации обо всех изданных сертификатах. Архив   поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив   подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив   должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты

Конечные субъекты , или пользователи , PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.


 

А также другие работы, которые могут Вас заинтересовать

7884. Школа и общественное дошкольное воспитание в период восстановления и дальнейшего развития народного хозяйства СССР (1946—1958 гг.) 126.5 KB
  Школа и общественное дошкольное воспитание в период восстановления и дальнейшего развития народного хозяйства СССР (1946 гг.) Еще в ходе Великой Отечественной войны Коммунистическая партия и Советское правительство принимали меры по восста...
7885. Проверочные тесты по темам Педагогика как наука, Теория обучения 87.5 KB
  Проверочные тесты по темам Педагогика как наука, Теория обучения Тест 1 Задание. Выберите наиболее точное определение объекта педагогической науки: Ученик Учитель Образование Ребенок Развивающаяся личность Задание...
7886. Основы государства и права (коспект) 467.5 KB
  Основы государства и права (коспект) Введение В условиях развития рыночных отношений в экономике возросли требования к правовой подготовке специалистов. Соответственно от высшей школы требуют формирование широкого кругозора и правовой культуры...
7887. Основы термодинамики. Молекулярная физика 166 KB
  Основы термодинамики Молекулярная физика и термодинамика занимаются явлениями, обусловленными совокупным действием огромного числа непрерывно движущихся частиц. Несмотря на то, что каждая частица движется по законам механики, их совокупное движение ...
7888. Поняття про форму організації навчання 28.5 KB
  Поняття про форму організації навчання Відповідь на питання Як навчати? виводить нас на ще одну важливу категорію педагогіки - категорію форм організації навчання. Якщо поняття метод характеризує змістову або внутрішню сторону навчального процесу ...
7889. З історії розвитку організаційних форм навчання 23.57 KB
  З історії розвитку організаційних форм навчання Загальні форми організації навчання часто називають організаційними системами навчання. У різні періоди розвитку суспільства перевага надавалася тим чи іншим організаційним системам навчання. Найстаршо...
7890. Класно-урочна система навчання, її суть та історія розвитку 19.33 KB
  Класно-урочна система навчання, її суть та історія розвитку Класно-урочна система навчання - це така організація навчального процесу, при якій учні групуються по класах і основною формою навчання є урок. Зміст навчання в кожному класі визначаєт...
7891. Причини, привід та початок Першої світової війни 35.5 KB
  Тема уроку. Причини, привід та початок Першої світової війни. Мета: розкрити причини, привід та початок Першої світової війни розвивати аналітичні вміння при вивченні всесвітньої історії виховувати в учнів зацікавленість до новітнього періоду всес...
7892. Воєнні кампанії 1915-1918 років 19.03 KB
  Тема уроку. Воєнні кампанії 1915-1918 років. Мета: розкрити зміст воєнних кампаній 1915-1918 років розвивати аналітичні вміння при вивченні всесвітньої історії виховувати в учнів зацікавленість до новітнього періоду всесвітньої історії Обладнання:...