Книга: Инфраструктуры открытых ключей
Системы, использующие сертификаты, и PKI
Системы, использующие сертификаты, и PKI
Результатом усилий технических специалистов по повышению безопасности Интернета стала разработка группы протоколов безопасности, таких как S/MIME, TLS и IPsec. Все эти протоколы используют криптографию с открытыми ключами для обеспечения сервисов конфиденциальности, целостности данных, аутентификации источника данных и неотказуемости.
Цель PKI состоит в обеспечении надежного и эффективного управления ключами и сертификатами открытых ключей. Пользователи систем, основанных на PKI, должны быть уверены, что в любой момент времени при коммуникации с определенным субъектом они полагаются на открытый ключ, связанный с секретным ключом, владельцем которого является именно этот субъект. Эта уверенность возникает в результате использования сертификатов открытых ключей, связывающих значения открытых ключей с их владельцами. Связывание происходит в результате проверки доверенным УЦ идентичности субъекта и заверения цифровой подписью каждого сертификата открытого ключа.
|Термин на английском языке | Аббревиатура | Термин на русском языке |
|Attribute Authority | AA | Атрибутный центр |
|Attribute Certificate | AC | Атрибутный сертификат |
|Certificate | | Сертификат |
|Certification Authority | CA | Удостоверяющий центр (УЦ) |
|Certificate Policy | CP | Политика применения сертификатов (ППС) |
|Certification Practice Statement | CPS | Регламент УЦ |
|End-Entity | EE | Конечный субъект |
|Public Key Certificate | PKC | Сертификат открытого ключа |
|Public Key Infrastructure | PKI | Инфраструктура открытых ключей |
|Privilege Management Infrastructure | PMI | Инфраструктура управления привилегиями |
|Registration Authority | RA | Регистрационный центр (РЦ) |
|Relying Party | | Доверяющая сторона |
|Root CA | | Корневой УЦ |
|Subordinate CA | | Подчиненный УЦ |
|Subject | | Субъект |
|Top CA | | УЦ верхнего уровня |
Таблица 15.5.Термины PKIX
Согласно стандартам PKIX, PKI представляет собой комплекс программного и аппаратного обеспечения, персонала, а также политик и процедур, необходимых для создания, управления, хранения, распространения и аннулирования сертификатов открытых ключей. Компоненты PKI представлены в табл. 15.6. Сертификат открытого ключа имеет ограниченный период действия, который зафиксирован в содержании сертификата. Поскольку клиент должен иметь возможность самостоятельно проверить подпись сертификата открытого ключа и его срок действия, сертификаты должны открыто публиковаться и распространяться посредством даже ненадежных коммуникаций и систем серверов.
|Компонент | Описание |
|Удостоверяющие центры (УЦ) | Выпускают и аннулируют сертификаты |
|Регистрационные центры (РЦ) | Подтверждают связывание открытых ключей и личностей владельцев сертификатов и других атрибутов |
|Владельцы сертификатов | Подписывают и шифруют электронные документы |
|Клиенты | Проверяют подлинность цифровых подписей и соответствующих цепочек сертификатов при помощи открытого ключа доверенного УЦ |
|Репозитории | Хранят и предоставляют информацию о сертификатах и списках САС |
Таблица 15.6.Компоненты PKI
Сертификаты открытых ключей используются в процессе валидации (подтверждения) заверенных цифровой подписью данных, когда получатель проверяет, чтобы:
1 информация, идентифицирующая отправителя, соответствовала данным, содержащимся в сертификате;
2 ни один сертификат из цепочки сертификатов не был аннулирован, и в момент подписания сообщения все сертификаты были действительными;
3 сертификат использовался отправителем по назначению;
4 данные не были изменены с момента создания ЭЦП.
После валидации получатель может принять данные, подписанные отправителем.
Общая схема функционирования PKI представлена на рис. 15.2. Конечный субъект отправляет запрос на сертификат в РЦ (транзакция управления). Если запрос фактически одобрен, то направляется непосредственно в УЦ для заверения цифровой подписью. УЦ проверяет запрос на сертификат, и если тот проходит верификацию, то подписывается и выпускается сертификат. Сертификат публикуется в репозитории; в зависимости от конкретной конфигурации PKI, эта функция может быть возложена на регистрационный или удостоверяющий центр.
На рис. 15.2 показаны все возможные коммуникации между конечным субъектом и УЦ. Процесс аннулирования сертификата аналогичен процессу его генерации. Конечный субъект запрашивает УЦ об аннулировании своего сертификата, РЦ принимает решение и направляет запрос об аннулировании в УЦ. УЦ вносит изменения в список аннулированных сертификатов и публикует его в репозитории. Конечные субъекты могут проверить статус конкретного сертификата через операционный протокол.
Рис. 15.2. Схема функционирования PKI
Операционные протоколы - это протоколы для доставки сертификатов (или информации об их статусе) и списков аннулированных сертификатов к клиентским системам, использующим сертификаты. Существуют разнообразные механизмы распространения сертификатов и САС с использованием протоколов LDAP, HTTP и FTP. Например, поиск САС для проверки статуса сертификата осуществляет операционный протокол.
Протоколы управления необходимы для поддержки взаимодействий в онлайновом режиме между пользователем PKI и субъектами управления.
Протоколы управления поддерживают:
1 регистрацию субъекта для получения сертификата;
2 инициализацию (например, генерации пары ключей);
3 выпуск сертификата;
4 восстановление пары ключей;
5 обновление пары ключей по истечении срока действия сертификата;
6 обращение с запросом об аннулировании сертификата;
7 кросс-сертификацию, когда два удостоверяющих центра обмениваются информацией для генерации кросс-сертификата.
Политика применения сертификатов и регламент УЦ содержатся в документах, описывающих обязательства сторон и правила использования сертификатов.
- Терминология и концепции PKIX
- Особенности системы защиты данных в InterBase
- Установка системы на уже подготовленный жесткий диск
- 1.3. Системы счисления
- 7.4. Модель системы автоматизированного проектирования защиты информации
- 1. Системы управления базами данных
- 4. Полнота системы правил Армстронга
- Наик Дайлип Системы хранения данных в Windows
- Глава 6 Файловые системы
- Глава 10 Возможности подсистемы хранения данных в различных версиях Windows NT
- 6.4 Другие файловые системы
- 6.6 Файловые системы для сетей хранения данных