32428

Сертификаты, СА, SSL, аутентификация с помощью сертификатов

Реферат

Информатика, кибернетика и программирование

Структура сертификата: Оговаривается стандартом Х509 последняя3я версия которого появилась в 1996 году. Стандарт оговаривает следующие компоненты сертификата: Номер версии Уникальный порядковый номер Стандарты ЭЦП и хэшфункция используемые для подписи сертификата Имя субъекта и его организация. Для аннулирования сертификата необходимы следующие причины: потеря ЛК изменение места работы Внешнее коммерческое СА используется: Когда действительность ключа должна быть подтверждена доверенной 3й стороной Не хватает...

Русский

2013-09-04

397.63 KB

18 чел.

Сертификаты, СА,  SSL, аутентификация с помощью сертификатов.

Для установки соответствия между пользователем и его открытым ключом используется сертификация открытых ключей.

Работа сертификационного агентства организуется следующим образом:

  1.  СА создает собственную пару ключей и ЭЦП. И подписывает свой открытый ключ своим личным ключом.
  2.  Пользователь создает свою собственную пару ключей и ЭЦП
  3.  Пользователь передает свой открытый ключ в СА
  4.  ОК пользователя подписывается секретным ключом агентства и возвращается пользователю. Пользователь также получает сертификат самого агентства и сертификаты ОК других пользователей.
  5.  СА регистрирует пользователей, ведет базы и рассылает своим клиентам. При этом вся нагрузка ложится на СА. Администрация СА не имеет доступа к ЛК пользователей, поэтому не может расшифровать данные пользователя.

Теоретически, СА может подменить ОК, либо создать фиктивного пользователя, однако раскрытие этого факта приведет к полной дискредитации СА.

      Можно работать и без СА. Два абонента подписывают свои ОК на своих ЛК, т.е. сертифицируют себя и обмениваются ими, соблюдая юридические формальности. Вместе с ОК передается бумажный документ и информация о владельце. Получив такой комплект, абонент должен удостовериться в силе полученного документа и в идентичности электронной и бумажной версий ключа. Если сошлись, пользователь удаляет подпись партнера, и подписывает ОК своим ЛК.

Существует также 3-й вариант, основанный на двух понятиях:

Trust – уровень доверия лицу, которое может подписывать ключи третьих лиц;

Validaty – степень уверенности в том, что ключ принадлежит конкретному лицу. Действительность ключа вычисляется исходя из того, кто подписал ОК и насколько вы доверяете данному ключу. ОК, который подписали вы сами, обладает наивысшим уровнем доверия.

   Структура сертификата:

Оговаривается стандартом Х509, последняя(3-я) версия которого появилась в 1996 году. Стандарт оговаривает следующие компоненты сертификата:

  1.  Номер версии
  2.  Уникальный порядковый номер
  3.  Стандарты ЭЦП и хэш-функция, используемые для подписи сертификата
  4.  Имя субъекта и его организация. Может включать иерархическую структуру подразделений.
  5.  Имя СА, издавшего сертификат
  6.  ОК субъекта
  7.  Подпись СА

Наиболее крупным западным СА является Verisign. Оно выпускает несколько видов сертификатов:

- низшего класса, удостоверяет лишь возможность доступа к электронной почте

- высшего класса, выдается только клиентам, удостоверившим свою личность в присутствии представителей СА.

Данное и другие СА оказывают услуги по сертификации ОК:

  1.  Организаций – владельцев серверов
  2.  Электронной почты частных лиц
  3.  Клиентов или частных производителей
  4.  Разработчиков ПО

Цена на Западе 100$ в год, в России цены аналогичны.

СА должно поддерживать списки аннулируемых сертификатов(CRL). Для аннулирования сертификата необходимы следующие причины:

- потеря ЛК

- изменение места работы

Внешнее коммерческое СА используется:

  1.  Когда действительность ключа должна быть подтверждена доверенной 3-й стороной
  2.  Не хватает ресурсов, времени для формирования инфраструктуры ключей(PKI)
  3.  Необходима совместимость сертификатов

В целях экономии крупные кампании могут сами выполнять роль СА. При этом предприятие полностью сохраняет контроль над собственной инфраструктурой ключей, однако есть недостатки:

- мелкие компании могут не иметь достаточно квалифицированного персонала

- сертификат, выданный одной компанией, не будет признаваться другими. Для устранения этого недостатка можно использовать кросс-сертификацию, однако это приводит к чрезмерному доверию между организациями.

Максимальную гибкость и универсальность имеет модель, сочетающая в себе использование внешнего СА и иерархического внутреннего СА. Использование внешнего СА, где получает сертификат главное СА предприятия, обеспечивает возможность обмена сертификатами с другими организациями, а использование иерархии позволяет сэкономить деньги.

Семейство протоколов SSL/TLS.

SSL располагается между протоколами прикладного уровня FTP и транспортного уровня TCP.

Он обеспечивает шифрование данных, аутентификацию сервера и пользователей и контроль целостности передаваемых сообщений. Открывая защищенный сеанс с сервером, клиент получает от него сертификат, подписанный СА. Клиент сверяет имя СА с сертификата с именем сервера, к которому он обращается и определяет, какое СА подписало сертификат. При помощи имеющегося у клиента сертификата этого СА проверяется электронная подпись в сертификате сервера и в случае успешной проверки устанавливается соединение. Так производится аутентификация сервера.

Затем клиент создает случайный сеансовый ключ, шифрует его на ОК сервера из сертификата сервер. После чего зашифрованный сеансовый ключ отсылает серверу. Тот с помощью ЛК расшифровывает сеансовый ключ, на котором в дальнейшем будет осуществляться шифрование трафика между клиентом и сервером.

Аутентификация клиента с помощью сертификатов:

При этом пользователь отправляет серверу подписанный своим ЛК свой сертификат. Сервер берет из сертификата ОК пользователя и с его помощью проверяет ЭЦП под сертификатом. Положительный результат свидетельствует о том, что пользователь обладает ЛК, соответствующим данному ОК.

Затем с помощью ОК в сертификате СА проверяется СА в сертификате пользователя. Положительный результат проверки свидетельствует о том, что пользователь зарегистрирован СА, а указанный в сертификате ОК и другие сведения принадлежат данному пользователю.

Сертификаты могут применяться для разграничения доступа, если ввести дополнительные поля, которые определяют привилегии пользователя.

При данном методе аутентификации отпадает необходимость хранить ключи пользователя. Достаточно хранить лишь список пользователей и сертификаты СА. Задача хранения секретных ключей возлагается на самих пользователей. Как результат – обеспечение большего числа пользователей.


 

А также другие работы, которые могут Вас заинтересовать

20690. Охрана труда в чрезвычайных ситуациях 1.23 MB
  В учебном пособие рассматриваются на примерах с расчетными данными общие требования и нормативные документы регламентирующие организацию охраны труда на производстве в мирное время и в чрезвычайных ситуациях.
20691. АНАЛИЗ ФИНАНСОВОЙ ДЕЯТЕЛЬНОСТИ ЧЕРЕПОВЕЦКОГО ОТДЕЛЕНИЯ 8638/0146 ОАО «СБЕРБАНКА РОССИИ» 355.1 KB
  Депозитная политика – это документ, регламентирующий процесс привлечения средств. По моему мнению депозитная политика – это также операции по привлечению денежных средств на определенный срок, либо до востребования. Объектами депозитных операций являются депозиты
20692. Сплайн-інтерполяція. Інтерполяційні поліноми Лагранжа 221.07 KB
  Мета роботи: познайомитися з методами інтерполяції складних функцій реалізувати заданий за варіантом метод інтерполяції у середовищі МatLAB. Завдання до виконання роботи: Доповнити систему МatLAB файлом що реалізує заданий метод інтерполяції відповідно до варіанту.
20693. ЗАДАЧИ И ОСНОВЫ ОРГАНИЗАЦИИ ЕДИНОЙ ГОСУДАРСТВЕННОЙ СИСТЕМЫ ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ (РСЧС) 363.5 KB
  В производственной сфере главная ответственность за предупреждение аварий и катастроф, осуществление мер по их ликвидации, по защите персонала объектов и населения жилых зданий, находящихся в опасной зоне, возлагалась на руководителей предприятий, отраслевые министерства и ведомства.
20694. Единая Европа: источники, образование, перспективы 136.5 KB
  ЕС является ключевым политическим и экономическим партнером России на Западе даже в условиях санкций. Особенно активно развиваются торгово-экономические связи. ЕС и Россия должны быть направлены на дальнейшее развитие конструктивного сотрудничества. В связи с этим понимание истоков, идей создания ЕС и его развитие является актуальным.
20695. ФОРМЫ УЧАСТИЯ ПРОКУРОРА В ГРАЖДАНСКОМ СУДОПРОИЗВОДСТВЕ В РК И ЗАРУБЕЖНЫХ СТРАНАХ 186 KB
  Дискуссия по поводу ограничения или, наоборот, усиления роли прокурора как в суде, так и в общем надзоре, не являются на сегодняшний день чем-то новым в истории прокуратуры, для которой характерен непрекращающийся поиск оптимальных форм осуществления полномочий.
20696. Розв’язання систем нелінійних рівнянь. Метод Ньютона 18.5 KB
  0001; J = [diffy1'x1' diffy1'x2' diffy1'x3' ; diffy2'x1' diffy2'x2' diffy2'x3' ; diffy3'x1' diffy3'x2' diffy3'x3' ]; p=[2;2;2]; x1=p1; x2=p2; x3=p3; dp=[inf;inf;inf]; while maxabsdp1:3 eps dp=[0;0;0]; Fk=[0;0;0]; Jk=evalJ; for i=1:3 Fki=evalFi:; end dp=invJkFk; p=pdp; x1=p1; x2=p2; x3=p3; end p 2.
20697. Криптографічна система RSA 54.28 KB
  5 зашифруємо повідомлення Створемо ключ Зашифруємо файл Відповідно до завдання лабораторної роботи проведемо розрахунки Повідомлення CRDHQS RSA p=5 q=7 N=57=35 p1q1=24 D=5 edmodp1q1=1 e5mod24=1 E=5 Ключ24 e =5 3^5 mod 35=33 18^5 mod 35=23 4^5 mod 35=9 8^5 mod 35=8 17^5 mod 35=12 19^5 mod 35=24 Зашифроване повідомлення 33 23 9 8 12 24 Розшифруєм повідомлення використовуючи ключ d=5 33 33^5 mod 35=3 23^5 mod 35=18 9^5 mod 35=4 8^5 mod 35=8 12^5 mod 35=17 24^5 mod 35=19 Висновки:...
20698. Розподіл ключів, протокол Діфф-Хеллмана 57.93 KB
  При роботі алгоритму кожна сторона: генерує випадкове натуральне число a закритий ключ спільно з віддаленою стороною встановлює відкриті параметри p і g зазвичай значення p і g генеруються на одній стороні і передаються іншій де p є випадковим простим числом g є первісних коренем по модулю p обчислює відкритий ключ A використовуючи перетворення над закритим ключем A = ga mod p обмінюється відкритими ключами з видаленою стороною обчислює загальний секретний ключ K використовуючи відкритий ключ видаленої сторони B і свій закритий ключ a...