Основні компоненти pki

У курс включені відомості, необхідні фахівцям в області інформаційної безпеки. Розглядається технологія інфраструктур відкритих ключів (Public Key Infrastructure - PKI), яка дозволяє використовувати сервіси шифрування і цифрового підпису узгоджено з широким колом додатків, що функціонують в середовищі відкритих ключів. Технологія PKI вважається єдиною, що дозволяє застосовувати методи підтвердження цифровий ідентичності при роботі у відкритих мережах.

Курс дає уявлення про основні концепції та підходи до реалізації інфраструктур відкритих ключів, в ньому описуються політика безпеки, архітектура, структури даних, компоненти і сервіси PKI. Пропонується класифікація стандартів і специфікацій в області інфраструктур відкритих ключів. Докладно розглядаються процеси проектування інфраструктури та підготовки її до роботи, обговорюються типові сценарії використання і способи реагування на інциденти під час функціонування PKI.

Книга: Інфраструктури відкритих ключів

Основні компоненти PKI

Не можна стверджувати, що PKI сама по собі є інфраструктурою безпеки. але вона може бути головною всеосяжною інфраструктури безпеки. Інфраструктура відкритих ключів являє собою комплексну систему, сервіси якої реалізуються та надаються з використанням технології відкритих ключів. Мета PKI складається в управлінні ключами і сертифікатами, за допомогою якого корпорація може підтримувати надійну мережеву середу. PKI дозволяє використовувати сервіси шифрування і вироблення цифрового підпису узгоджено з широким колом додатків, що функціонують в середовищі відкритих ключів.

Основними компонентами ефективної PKI є:

* Кінцеві суб'єкти (користувачі).

Взаємодія компонентів PKI ілюструє рис. 3.1. У складі PKI повинні функціонувати підсистеми випуску та анулювання сертифікатів, створення резервних копій і відновлення ключів, виконання криптографічних операцій, управління життєвим циклом сертифікатів і ключів. Клієнтське програмне забезпечення користувачів повинне взаємодіяти з усіма цими підсистемами безпечним, узгодженим і надійним способом> [9].

Фундаментальна передумова криптографії з відкритими ключами полягала в тому, що два незнайомих суб'єкта повинні мати можливість безпечно зв'язуватися один з одним. Наприклад, якщо користувач А бажає відправити конфіденційне повідомлення користувачу В. з яким він раніше не зустрічався то для шифрування повідомлення він повинен мати можливість зв'язати будь-яким чином користувача В і його відкритий ключ. Для спільноти потенційних користувачів, що об'єднує сотні тисяч або мільйонів суб'єктів, найбільш практичним способом зв'язування відкритих ключів та їх власників є організація довірених центрів. Цим центрам велика частина співтовариства або, можливо, все співтовариство довіряє виконання функцій зв'язування ключів і ідентифікаційних даних (ідентичності) користувачів.

Такі довірені центри в термінології PKI називаються засвідчують (УЦ); вони сертифікують зв'язування пари ключів з ідентичністю, запевняючи цифровим підписом структуру даних, яка містить деяке уявлення ідентичності та відповідного відкритого ключа. Ця структура даних називається сертифікатом відкритого ключа (або просто сертифікатом) і більш детально обговорюється в лекції 6. По суті сертифікат являє собою якесь зареєстроване посвідчення, яке зберігається в цифровому форматі і визнається спільнотою користувачів PKI законним і надійним. Для запевнення електронного сертифіката використовується електронний цифровий підпис УЦ - в цьому сенсі засвідчує центр уподібнюється нотаріальній конторі, так як підтверджує справжність сторін, що беруть участь в обміні електронними повідомленнями або документами.

Хоча УЦ не завжди входить до складу PKI (особливо невеликих інфраструктур або тих, які оперують в закритих середовищах, де користувачі можуть самі ефективно виконувати функції управління сертифікатами), він є критично важливим компонентом багатьох великомасштабних PKI. Безпосереднє використання відкритих ключів вимагає додаткової їх захисту та ідентифікації для встановлення зв'язку з секретним ключем. Без такої додаткової захисту зловмисник може видавати себе як за відправника підписаних даних, так і за одержувача зашифрованих даних, замінивши значення відкритого ключа або порушивши його ідентифікацію. Все це призводить до необхідності перевірки автентичності, тобто верифікації відкритого ключа> [213].

Засвідчує центр об'єднує людей, процеси, програмні та апаратні засоби, залучені в безпечне зв'язування імен користувачів і їх відкритих ключів. Засвідчує центр відомий суб'єктам PKI за двома атрибутами: назвою і відкритого ключа. УЦ включає своє ім'я в кожен випущений їм сертифікат і в список анульованих сертифікатів (САС) і підписує їх за допомогою власного секретного ключа. Користувачі можуть легко ідентифікувати сертифікати на ім'я УЦ і переконатися в їх справжності, використовуючи його відкритий ключ.

Мал. 3.1. Основні компоненти PKI

Засвідчує центр - головний керуючий компонент PKI - виконує наступні основні функції:

* Формує власний секретний ключ; якщо є головним УЦ. то видає і підписує свій сертифікат, званий самоізданним або самоподпісанного;

* Випускає (тобто створює і підписує) сертифікати відкритих ключів підлеглих засвідчувальних центрів та кінцевих суб'єктів PKI; може випускати крос-сертифікати, якщо пов'язаний відносинами довіри з іншими PKI;

* Підтримує реєстр сертифікатів (базу всіх виданих сертифікатів) і формує списки САС з регулярністю, визначеної регламентом УЦ;

* Публікує інформацію про статус сертифікатів та списків САС.

УЦ може працювати з декількома реєстраційними центрами. в цьому випадку він підтримує список акредитованих реєстраційних центрів. тобто тих, які визнані надійними. УЦ видає сертифікат РЦ і відрізняє його по імені і відкритого ключа. РЦ виступає як об'єкт, підлеглий УЦ. і повинен адекватно захищати свій секретний ключ. Перевіряючи підпис РЦ на повідомленні або документі, УЦ покладається на надійність наданої РЦ інформації.

РЦ об'єднує комплекс програмного і апаратного забезпечення і людей, які працюють на ньому. У функції РЦ може входити генерація і архівування ключів, повідомлення про анулювання сертифікатів, публікація сертифікатів і САС в каталозі LDAP та ін. Але РЦ не має повноважень випускати сертифікати і списки анульованих сертифікатів. Іноді УЦ сам виконує функції РЦ.

Репозиторій - спеціальний об'єкт інфраструктури відкритих ключів, база даних, в якій зберігається реєстр сертифікатів (термін "реєстр сертифікатів ключів підписів" введений в практику Законом України "Про електронний цифровий підпис")> [10]. Репозиторій значно спрощує управління системою і доступ до ресурсів. Він надає інформацію про статус сертифікатів, забезпечує зберігання і поширення сертифікатів і САС, управляє внесеннями змін до сертифікати. До сховища висуваються такі вимоги:

* Простота і стандартність доступу;

* Регулярність оновлення інформації;

* Сумісність з іншими сховищами (необов'язкове вимога).

Репозиторій зазвичай розміщується на сервері каталогів. організованих відповідно до міжнародного стандарту X.500 і його підмножиною. Більшість серверів каталогів і прикладне програмне забезпечення користувачів підтримують спрощений протокол доступу до каталогів LDAP (Lightweight Directory Access Protocol)> [154]. Такий уніфікований підхід дозволяє забезпечувати функціональну сумісність додатків PKI і дає можливість довіряє сторонам отримувати інформацію про статус сертифікатів для верифікації цифрових підписів.

На архів сертифікатів покладається функція довготривалого зберігання (від імені УЦ) і захисту інформації про всі виданих сертифікатах. Архів підтримує базу даних, яка використовується при виникненні спорів з приводу надійності електронних цифрових підписів, якими в минулому завірялися документи. Архів підтверджує якість інформації в момент її отримання та забезпечує цілісність даних під час зберігання. Інформація, яку надає УЦархіву. повинна бути достатньою для визначення статусу сертифікатів і їх видавця. Архів повинен бути захищений відповідними технічними засобами і процедурами.