Cursul include informații de calificare necesare în domeniul securității informațiilor. Tehnologia luată în considerare PKI (Public Key Infrastructure - PKI), care permite utilizarea serviciilor de criptare și a semnăturii digitale în mod concertat cu o gamă largă de aplicații, care funcționează într-un mediu cheie publică. Tehnologia PKI este considerat singurul care permite să aplice metodele de a confirma identitatea digitală atunci când se lucrează în rețele deschise.
Cursul oferă o trecere în revistă a principalelor concepte și abordări pentru punerea în aplicare a infrastructurilor-cheie publice, descrie politica de securitate, arhitectura, structuri de date, componente și servicii PKI. O clasificare a standardelor și a specificațiilor în domeniul infrastructurilor de chei publice. Examinează în detaliu procesele de proiectare a infrastructurii și să se pregătească pentru utilizare, cazuri tipice de utilizare sunt discutate și modalități de a răspunde la incidente în timpul operației PKI.
Book: Public Key Infrastructure
Principalele componente PKI
Nu poți argumenta că PKI în sine este o infrastructură de securitate. dar poate fi baza unei infrastructuri globale de securitate. PKI este un sistem complex, care serviciile sunt puse în aplicare și cu condiția folosind tehnologii-cheie publice. Scopul este de a gestiona cheile și certificatele PKI, prin care o companie poate menține un mediu de rețea de încredere. PKI permite servicii de criptare și dezvoltarea semnăturii digitale în mod concertat cu o gamă largă de aplicații, care funcționează într-un mediu cheie publică.
Principalele componente sunt PKI eficiente:
* Subiecte finale (utilizatori).
Componentele Interacțiunea PKI ilustrat în Fig. 3.1. Ca parte a PKI să funcționeze eliberarea subsistemului și retragerea certificatelor, de backup și recuperare a cheilor, efectua operațiuni criptografice, de gestionare a ciclului de viață al certificatelor și chei. software-ul de software pentru utilizatorul de Client trebuie să interacționeze cu toate aceste subsisteme metode sigure, coerente și fiabile> [9].
Premisa fundamentală a criptografiei cu cheie publică a fost faptul că două subiecte necunoscute trebuie să fie capabil să comunice unul cu celălalt în condiții de siguranță. De exemplu, dacă utilizatorul A dorește să trimită un mesaj confidențial către W. cu care nu a cunoscut anterior, apoi pentru a cripta mesajul pe care el ar trebui să poată să se refere în nici un fel în utilizator și cheia sa publică. Pentru comunitatea de utilizatori potențiali, care reunește sute de mii sau milioane de subiecți, modul cel mai practic de a lega cheile publice și proprietarii lor este o organizație de încredere autorități. Acest centru de o mare parte a comunității, sau poate întreaga comunitate de încredere funcții obligatorii cheie de execuție și date ale utilizatorilor de identificare (identitate).
Astfel de centre de încredere în terminologia PKI sunt numite de certificare (CA); ei au certificat pereche de legare cu cheia de identitate, asigurând o structură de date semnat digital, care conține o reprezentare a identității și cheia publică corespunzătoare. Această structură de date se numește un certificat de cheie publică (sau certificat) și este discutat mai în detaliu în capitolul 6. De fapt, certificatul este un fel de certificat înregistrat, care este stocat într-un format digital și este recunoscut de către comunitatea de utilizatori pKi legitime și de încredere. Pentru asigurările de certificate electronice utilizate CA semnătură digitală - în acest sens, autoritatea de certificare este asemănată cu biroul notarial, după cum confirmă autenticitatea părților implicate în schimbul de mesaje sau documente electronice.
Deși CA nu este întotdeauna inclusă în PKI (în special infrastructurile mici sau cele care operează într-un mediu închis, în cazul în care utilizatorii se pot efectua în mod eficient de management certificat), este o componentă critică a multor scară largă PKI. Utilizarea directă a cheilor publice necesită o protecție suplimentară și de identificare pentru a stabili o conexiune cu o cheie secretă. Fără o astfel de atacator protecție suplimentară poate juca rolul expeditorului atât datele semnate, iar destinatarul datelor criptate prin înlocuirea valorii cheii publice sau încălcarea de identificare a acestuia. Toate acestea conduc la nevoia de autentificare, care este, verificarea cheii publice> [213].
Centrul de certificare integrează oameni, procese, software și hardware implicate în legarea sigură a numelor de utilizator și cheile publice ale acestora. Autoritatea de Certificare PKI cunoscute subiecte de două atribute: numele și cheia publică. CA includ numele pe fiecare listă de certificat și certificatul de revocare emis de acestea (SAS) și conectați-vă utilizând cheia lor proprie privată. Utilizatorii pot identifica cu ușurință certificatele în numele CA, și să verifice autenticitatea acestora, folosind cheia publică.
Fig. 3.1. Principalele componente PKI
Autoritatea de Certificare - CEO al componentei PKI - îndeplinește următoarele funcții:
* Generează propria sa cheie privată; Dacă un părinte CA. problema și să semneze certificatul dvs., numit un auto publicat sau auto-semnat;
* Emisiile (de exemplu, creează și semne), certificate publice cheie pentru autoritățile de certificare subordonate și entitățile de capăt PKI; pot elibera certificate încrucișate, în cazul în care relațiile de încredere asociate cu alte PKI;
* Suportă registru certificate (bază de date a tuturor certificatelor emise) și formulare enumeră SAS cu regularitate, anumite reguli ale CA;
* Publicarea informațiilor despre starea certificatelor și a listelor de SAS.
CAs poate lucra cu mai multe centre de înregistrare. În acest caz, menține o listă a centrelor de înregistrare acreditate. adică, cei care au considerat a fi de încredere. CA emite un certificat de curent continuu și are numele său și cheia publică. RC apare ca un obiect, subordonat AC. și trebuie să protejeze în mod adecvat cheia lor privată. Verificarea semnăturii pe mesajul sau document RC CA se bazează pe fiabilitatea informațiilor furnizate de către RC.
RC integrează software-ul complex și hardware și oamenii care lucrează pe ea. Funcția CC poate include generarea și arhivarea cheilor, o notificare de revocare a certificatelor, certificate de publicare și CAC în directorul LDAP, și altele. Dar DC nu are autoritatea de a emite certificate și listele de certificate revocate. Uneori, el acționează ca RC CA.
Repository - un obiect special al infrastructurii de chei publice, o bază de date în care sunt stocate registrul certificatului (termenul „certificat cheie semnătură“, a pus în practică ZakonomRumyniya „semnăturii electronice digitale“)> [10]. Repository simplifică foarte mult managementul sistemului și accesul la resurse. Acesta oferă informații despre starea certificatelor, prevede stocarea și distribuirea certificatelor și SAS, gestionează modificările certificatelor. Depozitul trebuie să îndeplinească următoarele cerințe:
* Simplitatea și standardizarea accesului;
* Actualizări regulate;
* Compatibilitatea cu alte arhive (nu este o cerință).
Depozitul este de obicei situat într-un server director. organizat în conformitate cu standardul internațional X.500 și urmașul său. Cele mai multe servere de directoare și utilizatorii de suport software de aplicație simplificat protocol de acces director LDAP (Lightweight Directory Access Protocol)> [154]. Această abordare unificată permite de a oferi funcționale compatibilitatea aplicațiilor PKI și permite bazându-se părților să obțină informații despre starea certificatelor pentru verificarea semnăturilor digitale.
Fișierul certificat este atribuit o funcție pe termen lung de stocare (în numele CA), precum și protecția informațiilor cu privire la toate certificatele emise. Arhiva mentine baza de date utilizată în cazul unor dispute asupra fiabilității semnăturilor electronice ultimul document care urmează să fie certificate. Arhiva confirmă calitatea informațiilor în momentul primirii și asigură integritatea datelor în timpul depozitării. Informațiile furnizate UTsarhivu. Ar trebui să fie suficient pentru a determina starea certificatului și editor. Arhivele trebuie să fie protejate prin mijloace tehnice și proceduri adecvate.