Книга: Инфраструктуры открытых ключей

Оглавление книги

• Инфраструктуры открытых ключей
• Инфраструктуры открытых ключей
• Лекция 1. Доверие в сфере электронных коммуникаций
• Понятие доверия
• Политики доверия
• Конфиденциальность
• Корректное использование информации
• Реагирование в случае нарушения доверия
• Непрерывность доверия
• Согласие пользователей
• Ассоциации доверия
• Концепция инфраструктуры безопасности
• Уровни инфраструктуры
• Физический уровень
• Системный уровень
• Уровень приложений
• Цель и сервисы инфраструктуры безопасности
• Защищенная регистрация
• Защищенная однократная регистрация
• Прозрачность для конечных пользователей
• Комплексная безопасность
• Лекция 2. Механизмы аутентификации
• Эволюция механизмов аутентификации
• Аутентификация на основе паролей
• Механизмы одноразовой аутентификации
• Аутентификация "запрос-ответ"
• Неявный запрос на базе времени
• Аутентификация с использованием хэш-функции
• Аутентификация Kerberos
• Получение пользователем билета TGT на билеты
• Получение пользователем билета на доступ к серверу
• Аутентификация пользователя сервером
• Аутентификация сервера пользователем
• Инициализация открытых ключей Kerberos
• Аутентификация при помощи сертификатов
• Возможности PKI
• Лекция 3. Основные компоненты и сервисы PKI
• Основные компоненты PKI
• Удостоверяющий центр
• Регистрационный центр
• Репозиторий сертификатов
• Архив сертификатов
• Конечные субъекты
• Физическая топология
• Серверные компоненты PKI
• Клиентское программное обеспечение
• Сервисы PKI
• Криптографические сервисы
• Генерация пар ключей
• Выработка цифровой подписи
• Верификация (проверка) цифровой подписи
• Сервисы управления сертификатами
• Выпуск сертификатов
• Управление жизненным циклом сертификатов и ключей
• Поддержка репозитория
• Хранение сертификатов и САС в архиве
• Вспомогательные сервисы
• Регистрация
• Хранение информации в архиве
• Резервное хранение и восстановление ключей
• Автоматическое обновление ключей
• Управление историями ключей
• Другие сервисы
• Сервисы, базирующиеся на PKI
• Предотвращение отказа от участия в обмене информацией
• Авторизация
• Нотариальная аутентификация
• Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы
• Сервисы безопасности PKI
• Идентификация и аутентификация
• Целостность
• Конфиденциальность
• Базовые криптографические механизмы сервисов безопасности PKI
• Симметричные алгоритмы
• Алгоритмы хэширования
• Асимметричные алгоритмы
• Сравнение криптографических механизмов безопасности
• Лекция 5. Модели и механизмы доверия
• Концепция доверия в PKI
• Именование субъектов
• Модель строгой иерархии удостоверяющих центров
• Нестрогая иерархия удостоверяющих центров
• Иерархии на основе политик
• Модель распределенного доверия
• Сетевая конфигурация
• Мостовая конфигурация (конфигурация hub-and-spoke)
• Четырехсторонняя модель доверия
• Web-модель
• Модель доверия, сконцентрированного вокруг пользователя
• Кросс-сертификация
• Лекция 6. Сертификаты открытых ключей
• Формат сертификатов открытых ключей X.509
• Дополнения сертификата
• Альтернативные форматы сертификатов
• Сертификаты SPKI
• Сертификаты PGP
• Сертификаты SET
• Атрибутные сертификаты
• Лекция 7. Классификация сертификатов и управление ими
• Классы сертификатов
• Сертификаты конечных субъектов
• Сертификаты пользователей
• Сертификаты систем
• Сертификаты удостоверяющих центров
• Сертификаты удостоверяющих центров корпоративной PKI
• Сертификаты удостоверяющих центров в среде нескольких корпоративных PKI
• Сертификаты мостовых удостоверяющих центров
• Самоподписанные сертификаты
• Сертификаты установления пункта доверия
• Сертификаты обновления ключа
• Сертификаты обновления политики
• Использование субъектом нескольких сертификатов
• Пары ключей одного субъекта
• Взаимосвязи сертификатов и пар ключей
• Управление несколькими парами ключей
• Жизненный цикл сертификатов и ключей
• Примерные сценарии управления жизненным циклом сертификатов и ключей
• Лекция 8. Формат списков аннулированных сертификатов
• Списки аннулированных сертификатов
• Формат списка аннулированных сертификатов
• Дополнения САС
• Дополнения точек входа в САС
• Частные дополнения
• Лекция 9. Типы списков аннулированных сертификатов и схемы аннулирования
• Полные списки САС
• Пункты распространения САС
• Переадресующие списки САС
• Дельта-списки и косвенные дельта-списки САС
• Косвенные списки САС
• Деревья аннулирования сертификатов
• Механизмы онлайновых запросов
• Онлайновый протокол статуса сертификата
• Простой протокол валидации сертификатов
• Другие режимы аннулирования
• Сравнительная характеристика разных схем аннулирования
• Лекция 10. Основные понятия и типы архитектуры PKI
• Основные понятия архитектуры PKI
• Построение пути сертификации
• Простая архитектура PKI
• Одиночный УЦ
• Построение пути в простой PKI
• Простые списки доверия
• Архитектура корпоративной PKI
• Иерархическая PKI
• Построение пути в иерархической PKI
• Сетевая PKI
• Построение пути в сетевой PKI
• Гибридная архитектура PKI
• Архитектура расширенного списка доверия
• Построение пути для расширенного списка доверия
• Кросс-сертифицированные корпоративные PKI
• Построение пути для кросс-сертифицированных PKI
• Архитектура мостового УЦ
• Построение пути в мостовой PKI
• Лекция 11. Валидация пути сертификации
• Процедура проверки валидности пути
• Инициализация
• Базовый контроль сертификата
• Проверка срока действия сертификата
• Проверка статуса сертификата
• Проверка подписи сертификата
• Проверка цепочки имен
• Проверка политик применения сертификатов
• Проверка ограничений на имена
• Подготовка следующего сертификата
• Завершение обработки сертификата
• Выявление в пути сертификации аннулированных сертификатов
• Обработка САС
• Завершение
• Выбор архитектуры PKI
• Лекция 12. Механизмы распространения информации PKI
• Частное распространение информации PKI
• Публикация и репозитории
• Особенности использования корпоративного репозитория
• Варианты развертывания междоменного репозитория
• Общий репозиторий
• Междоменная репликация
• Пограничный репозиторий
• Организация репозитория и протоколы доступа к нему
• Каталоги
• Каталог X.500
• Упрощенный протокол доступа к каталогу LDAP
• FTP
• HTTP
• Электронная почта
• Поддержка системы доменных имен
• Рекомендации по выбору типа репозитория
• Лекция 13. Политики, регламент и процедуры PKI
• Политика безопасности и способы ее реализации
• Политика применения сертификатов
• Регламент удостоверяющего центра
• Идентификаторы объектов
• Отображение политики в сертификатах
• Краткая характеристика политики PKI
• Лекция 14. Описание политики PKI
• Набор положений политики PKI
• Общие положения
• Специальные разделы
• Трудности разработки политики и регламента
• Этапы разработки политики применения сертификатов
• Лекция 15. Стандарты и спецификации PKI
• Стандарты в области PKI
• Стандарты Internet X.509 PKI (PKIX)
• Терминология и концепции PKIX
• Системы, использующие сертификаты, и PKI
• Системы, использующие сертификаты, и PMI
• Направления стандартизации
• Роль стандартов, профилей и тестирования функциональной совместимости
• Инициативы по обеспечению функциональной совместимости PKI-продуктов
• Национальные инициативы
• Automotive Network eXchange
• Bridge CA Demonstration
• Федеральная PKI
• Спецификация минимальной функциональной совместимости
• Проект национальной ассоциации автоматизированных клиринговых палат
• Апробация концепции SIRCA
• Международные инициативы
• PKI X.509
• Проект EEMA PKI Challenge
• Лекция 16. Сервисы, базирующиеся на PKI
• Сервисы, базирующиеся на PKI
• Защищенная связь
• Защищенное проставление меток времени
• Нотаризация
• Неотказуемость
• Управление полномочиями
• Приватность
• Механизмы, которые необходимы для сервисов, базирующихся на PKI
• Цифровые подписи, хэш-функции, коды аутентификации сообщений и шифры
• Надежные источники времени
• Механизмы создания и обработки политики полномочий
• Механизмы инфраструктуры управления полномочиями
• Архитектура приватности
• Условия функционирования сервисов, базирующихся на PKI
• Механизм доставки точного времени
• Защищенные протоколы
• Резервные серверы
• Физически защищенный архив
• Сертификаты приватности и отображение идентичности
• Обстоятельства реальной жизни
• Лекция 17. Приложения, базирующиеся на PKI
• Защищенная электронная почта S/MIME
• Поддержка защищенной электронной почты на основе PKI
• Средства безопасности транспортного уровня
• Протокол установления соединений
• Протокол передачи записей
• Поддержка безопасности транспортного уровня на основе PKI
• Средства безопасности IP-уровня
• Контексты безопасности
• Протокол аутентифицирующего заголовка AH
• Протокол инкапсулирующей защиты содержимого ESP
• Протокол обмена ключами IKE
• Поддержка безопасности IP-уровня на основе PKI
• Типовые сценарии использования PKI
• Лекция 18. Подготовка к развертыванию PKI
• Предварительный этап развертывания PKI
• Подготовка принятия решения о развертывании
• Оценка готовности к развертыванию
• Определение цели развертывания PKI
• Принятие решения о варианте развертывания
• Разработка или приобретение PKI-продукта
• Открытая или частная иерархия
• Контроль и гибкость
• Стоимость и время развертывания
• Определение масштаба и сферы применения PKI
• Важные характеристики решения
• Учет характера среды развертывания
• Режим оперирования
• Приоритетные сервисы безопасности
• Комплексность решения
• Стандартность решения
• Анализ данных и приложений
• Лекция 19. Проблемы выбора поставщика технологии или сервисов PKI
• Определение критериев выбора поставщика технологии или сервисов PKI
• Финансовые возможности поставщика
• Масштабируемость решения
• Безопасность
• Надежность операционной работы УЦ
• Техническая поддержка
• Помощь консультантов
• Анализ возможностей поставщика
• Краткая характеристика
• Введение
• Область применения проекта
• Управление проектом
• Архитектура безопасности
• Политика безопасности
• Стандарты и руководства по проектированию безопасности
• Операционная работа УЦ
• Аудит
• Обучение персонала
• Требования к консультантам
• Информация о реализованных поставщиком проектах
• Лекция 20. Проектирование и внедрение PKI
• Проектирование
• Формирование правовой политики PKI
• Изучение политик PKI и стандартов
• Основные правовые документы
• Политика применения сертификатов и регламент УЦ
• Соглашение между УЦ и РЦ
• Соглашение между конечным субъектом и РЦ
• Соглашение между конечным субъектом и УЦ
• Модель доверия и архитектура PKI
• Выбор программного продукта или поставщика сервисов PKI
• Выбор основных средств и оборудования
• Аппаратное и программное обеспечение УЦ и РЦ
• Периферийные устройства
• Безопасность компонентов PKI
• Выбор персонала для обслуживания PKI
• Завершение этапа проектирования
• Создание прототипа, пилотный проект и внедрение
• Создание прототипа
• Пилотный проект
• Внедрение
• Лекция 21. Проблемы реализации PKI
• Проблемы реализации
• Подготовка системы PKI к работе
• Управление сертификатами и ключами
• Выбор способа управления списками САС
• Порядок обновления сертификатов
• Поиск информации о статусе сертификатов
• Выбор способа генерации пары ключей
• Порядок обновления ключей
• Выбор способа хранения секретных ключей
• Реагирование на инциденты во время функционирования PKI
• Аннулирование
• Порядок обработки запросов об аннулировании
• Выбор способа публикации САС
• Восстановление, резервное копирование и хранение ключей в архиве
• Депонирование
• Выбор способа и агента депонирования ключей
• Планы реагирования на катастрофы и восстановления работы системы
• Проблемы интеграции PKI
• Интеграция с приложениями
• Интеграция с данными третьей стороны
• Интеграция с системами более сильной аутентификации
• Интеграция с существующими системами
• Интеграция с интерфейсом пользователя
• Проблемы функциональной совместимости продуктов разных поставщиков
• Анализ реальных возможностей функциональной совместимости
• Формат X.509 или альтернативные форматы сертификатов
• Профили сертификатов и списки САС
• PKI-совместимые приложения
• Проблемы репозитория
• Выбор репозитория
• Отсутствие единых стандартов на сервисы каталога
• Масштабируемость и производительность
• Проблемы оценивания стоимости PKI
• Литература
• Содержание книги
• Популярные страницы