Adnotare: Sunt luate în considerare și alte servicii PKI, caracteristicile serviciilor de comunicații securizate, dating notariate securizate, non-repudierea, arhiva datelor securizate, managementul autorităților, confidențialitatea; discută mecanismele necesare pentru serviciile care se bazează pe PKI și condițiile de funcționare a acestor servicii.
Servicii bazate pe PKI
În capitolul anterior au fost discutate principalele servicii de securitate oferite de PKI. autentificare. integrității și confidențialității. Acest capitol este dedicat serviciilor care nu sunt servicii fundamentale ale oricărui PKI. dar poate fi construit pe baza PKI. Serviciile suplimentare bazate pe PKI includ:
- comunicare securizată;
- date protejate;
- notarială;
- non-repudiere;
- arhiva de date protejată;
- administrarea autorităților;
- confidențialitate [44].
Comunicații sigure
Când transmiteți date de la expeditor la receptor, este asigurată o conexiune securizată. dacă se respectă una sau mai multe cerințe de securitate: autenticitatea. integrității și confidențialității. Serviciul de comunicații securizate este construit pe baza principalelor servicii PKI în combinație cu protocoalele tradiționale de rețea și de comunicații. Exemple de comunicații sigure sunt:
- Secure e-mail utilizând protocoalele S / MIME v2 [169] și S / MIME v3 [158]. [159];
- acces securizat la un server web TLS [142];
- o rețea privată virtuală sigură utilizând protocoalele IPSec [143] și IKE [147].
Timpi de protecție protejați
Datele securizate sau plasarea timbrelor constau în legarea unei timbre de timp cu o anumită "porțiune" de date de către un centru de date de încredere, menținându-le autenticitatea și integritatea. Și, important nu este chiar înțelesul timpului, ci securitatea datelor obligatorii cu un anumit timp (dată). În special, în unele aplicații este important să nu se stabilească timpul evenimentului, ci succesiunea evenimentelor, de exemplu, sosirea în centrul de încredere al acestui document Y înaintea documentului Z. dar după documentul X.
Un centru de întâlniri de încredere nu este strict o componentă necesară a acestui serviciu. Orice subiect poate menține un timp sigur în mediul său local și, dacă este necesar, poate asocia timbre cu propriile date. În practică, cu toate acestea, este dificil să se mențină un timp de încredere pentru mediile locale (de exemplu, sistemele de birou) ale multor utilizatori, astfel încât acestea să apeleze la ajutorul centrelor de înmatriculare de încredere. care procesează cererile subiecților pentru plasarea timbrelor.
Un serviciu de dating sigure se bazează pe principalele servicii PKI. autentificare și integritate. Ștampila de timp a documentului se formează ca rezultat al semnării digitale a combinației dintre codul hash al documentului în sine și valoarea timpului într-un anumit format. Semnătura centrului de date de încredere asigură autenticitatea și integritatea datelor. Pentru ca această schemă să funcționeze, toți subiecții PKI ar trebui să știe și să aibă încredere în cheia publică a semnăturii centrului de dating, cu care puteți verifica semnătura pe ștampila de timp. Dacă o astfel de cheie devine nesigură (de exemplu, ca urmare a compromiterii cheii secrete a semnăturii centrului de datare), este necesar ca toate entitățile PKI să fie informate despre acest lucru și a fost emisă o nouă cheie fiabilă pentru centrul de datare. Toate timbrele. certificată de o cheie incorectă, nu ar trebui considerată valabilă.
Punctul-cheie în susținerea serviciului de non-repudiere este amplasarea sigură a timbrelor. care se caracterizează prin fiabilitatea sursei de timp și prin securitatea transmiterii valorii de timp. În PKI trebuie să existe o sursă sigură de timp, pe care toți subiecții au încredere. Un server de timp securizat îndeplinește funcțiile unei surse de timp fiabile. un certificat din care poate fi verificat de orice entitate PKI. Acest server poate fi folosit nu numai pentru a sprijini serviciul de non-repudiere, ci și în alte cazuri când este necesară o datare fiabilă.
notarială
Există interpretări diferite ale termenului de notariat. dar în acest context se consideră că serviciul de notariat de tip PKI este destinat certificării datelor, adică confirmarea validității sau corectitudinii acestora. Concluzia cu privire la corectitudinea datelor depinde de tipul lor, de exemplu, dacă datele care fac obiectul certificării sunt o semnătură digitală, atunci notariatul confirmă valabilitatea semnăturii atunci când sunt îndeplinite următoarele condiții:
- corectitudinea matematică a rezultatului verificării semnăturii prin intermediul cheii publice corespunzătoare;
- corelarea corectă a semnării cheii publice cu persoana care semnează această valoare;
- disponibilitatea și fiabilitatea tuturor celorlalte date necesare procesului de validare (de exemplu, certificate suplimentare pentru a forma calea completă).
Un notar al PKI este un subiect căruia o anumită comunitate a altor entități PKI are încredere în îndeplinirea corespunzătoare a serviciului de notariat. Aceasta confirmă corectitudinea datelor cu semnătura digitală, prin urmare alte entități PKI au nevoie de o copie de încredere a cheii publice notariale pentru a verifica semnătura. Serviciul de notariat se bazează pe serviciul principal de autentificare PKI și utilizează, de asemenea, serviciul de datare, de vreme ce nota este inclusă în structura de certificare a datelor.