30548

Криптографической системы с открытым ключом

Доклад

Математика и математический анализ

Основные компоненты PKI Удостоверяющий центр Сертификат открытого ключа Регистрационный центр Репозиторий Архив сертификатов Конечные пользователи Основные задачи Основные задачи системы информационной безопасности которые решает инфраструктура управления открытыми ключами: обеспечение конфиденциальности информации; обеспечение целостности информации; обеспечение аутентификации пользователей и ресурсов к которым обращаются пользователи; обеспечение возможности подтверждения совершенных пользователями действий с...

Русский

2013-08-24

25.48 KB

10 чел.

На доске:

В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

  1.  закрытый ключ известен только его владельцу;
  2.  удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  3.  никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  4.  удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные компоненты PKI

  1.  Удостоверяющий центр 
  2.  Сертификат открытого ключа
  3.  Регистрационный центр
  4.  Репозиторий
  5.  Архив сертификатов
  6.  Конечные пользователи

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  1.  обеспечение конфиденциальности информации;
  2.  обеспечение целостности информации;
  3.  обеспечение аутентификации пользователей и ресурсов, к которым обращаются    пользователи;
  4.  обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость

Ответ

Основными целями развертывания инфраструктуры PKI являются:

  1.  Внедрение защищённых механизмов аутентификации — смарт-карты, сертификаты для аутентификации в IIS/VPN;
  2.  Внедрение защищённых механизмов сетевого взаимодействия — L2TP, SSL, IPsec;
  3.  Обеспечение не отрицания авторства, неизменности передаваемых по сети данных:
  4.  Внедрение защищённой почты с шифрованием и/или подписью писем;
  5.  Внедрение цифровых подписей документов и файлов;
  6.  Внедрение защищённых файловых хранилищ с шифрованием особо конфиденциальной информации.

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А   желает отправить конфиденциальное сообщение пользователю В , с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В   и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ)  ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа   (или просто сертификатом) и более детально обсуждается в лекции 6. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ   - в этом смысле удостоверяющий центр   уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ   не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа.

Удостоверяющий центр   - главный управляющий компонент PKI - выполняет следующие основные функции:

*  формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданным   или самоподписанным  ;

*  выпускает (то есть создает и подписывает) сертификаты открытых ключей   подчиненных удостоверяющих центров   и конечных субъектов   PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*  поддерживает реестр сертификатов   (базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ  ;

*  публикует информацию о статусе сертификатов и списков САС

Сертификат открытого ключа 

 

Сертификат открытого ключа   подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата    (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

*  серийный номер сертификата Certificate Serial Number  ;

*  идентификатор алгоритма подписи Signature Algorithm Identifier  ;

*  имя издателя Issuer Name  ;

*  период действия Validity (Not Before/After)  ;

*  открытый ключ субъекта Subject Public Key Information  ;

*  имя субъекта сертификата Subject Name .

Под субъектом сертификата   понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена

Регистрационный центр

Регистрационный центр (РЦ)   является необязательным компонентом PKI

Обычно РЦ   получает от удостоверяющего центра   полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ   и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ

УЦ   может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ   выдает сертификат РЦ   и отличает его по имени и открытому ключу. РЦ   выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ   на сообщении или документе, УЦ   полагается на надежность предоставленной РЦ   информации.

РЦ   объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ   может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ   не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ   сам выполняет функции РЦ

Репозиторий сертификатов

Репозиторий   - специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов    (термин " реестр сертификатов   ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий   значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию   предъявляются следующие требования:

*  простота и стандартность доступа;

*  регулярность обновления информации;

*  встроенная защищенность;

*  простота управления;

*  совместимость с другими хранилищами (необязательное требование).

Репозиторий   обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов   и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Архив сертификатов

На архив сертификатов   возлагается функция долговременного хранения (от имени УЦ  ) и защиты информации обо всех изданных сертификатах. Архив   поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив   подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив   должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты

Конечные субъекты , или пользователи , PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.


 

А также другие работы, которые могут Вас заинтересовать

30991. ІНФОРМАТИКА та КОМП’ЮТЕРНА ТЕХНІКА 6.63 MB
  Інформаційна технологія – це людино – машинна технологія збору, обробки та передачі інформації. Це технологія, яка базується на обчислювальній техніці, швидко розвивається, охоплюючи усі види сучасної діяльності: виробництво, управління, науку, освіту, проектні розробки, торгівлю, фінансово-банківські операції, медицину, криміналістику, охорону оточуючого середовища, побут та інше.
30992. Электронная торговля 881.5 KB
  Многие крупные компании уже давно прибегают к электронному бизнесу, электронной коммерции при проведении деловых операций. Электронный обмен данными (Electronic Data Interchange, EDI) по частным компьютерным сетям начался в 60-годы XX века. Он представлял собой обмен документами в стандартном виде
30993. Характеристика кормів, технологія заготівлі та способи їх ефективного використання у годівлі поросят 191 KB
  Особливості обміну речовин у поросят на початку постнатального періоду 1.4 Розвиток внутрішніх органів у поросят за різних рівнів годівлі.5 Раціони режим і техніка годівлі поросят 1.
30995. Расчёты объёмов вентиляции по углекислоте и влажности в свинарнике 162 KB
  Комплексы по выращиванию и откорму свиней должны находиться на режиме предприятий закрытого типа. В производственную зону комплекса запрещается вход посторонним лицам и въезд на территорию транспорта, не связанного с обслуживанием комплекса. Обслуживающему персоналу разрешается вход на территорию комплекса только через санпропускник, а въезд транспорта- через дезинфекционно- промывочное помещение (дезбарьер).
30996. Какие изменения в кормах могут возникнуть вследствие влияния на них неблагоприятной погоды 85.12 KB
  Расчетная часть. При выполнении курсовой работы нужно дать ответы на такие вопросы: Определить часовой объем вентиляции. Сравнить приходную и расходную части теплового баланса и определить ∆t теплового баланса. У людей от хлеба со спорыньей бывают судороги общий паралич и часто смерть.
30997. ЭКОНОМИКА ОРГАНИЗАЦИИ 93.5 KB
  Целью выполнения курсовой работы является расширение и углубление знаний обучающихся по дисциплине «Экономика организации», овладение практическими навыками расчетов экономических показателей, характеризующих состояние организации и эффективность осуществляемой ею деятельности, формирование умения анализировать и оценивать полученные результаты.
30998. Создание эффективно работающей компьютерной сети для организации “Х” в которой находится 29 ПЭВМ 555.31 KB
  Выбор топологии сети типа кабеля и видов необходимого коммуникационного оборудования. Структурная схема вычислительной сети и описание принципов работы.Уязвимость сетис. Сетевые концентраторы также могут иметь связь друг с другом объединяя вместе подсети различных участков здания.
30999. Форма, содержание и ответственность кредитного договора 170 KB
  Предмет кредитного договора. Форма содержание и ответственность кредитного договора. Форма кредитного договора. Содержание кредитного договора. Ответственность по кредитному договору. Виды кредитного договора...