Pki (public key infrastructure)

PKI (англ. P ublic K ey I nfrastructure - інфраструктура відкритих ключів) - сукупність сервісів для управління ключами і цифровими сертифікатами користувачів, програм і систем.

Інфраструктура відкритих ключів - це система цифрових сертифікатів, авторизації та центрів реєстрації, які перевіряють і підтверджують справжність кожного об'єкта, який бере участь в електронній транзакції з використанням криптографії з відкритими ключами. Інфраструктура відкритих ключів використовує технологію відкритих ключів для:

  1. ідентифікації учасників електронного обміну (користувачів, програм, систем),
  2. забезпечення конфіденційності інформації,
  3. контролю за цілісністю інформації,
  4. встановлення походження інформації.
Pki (public key infrastructure)

Основні визначення

Цифровий конверт - метод використання шифрування з відкритим ключем для безпечного поширення секретних ключів використовуються при симетричному шифруванні і для посилки зашифрованих повідомлень. Значно скорочується проблема поширення ключів пов'язана з симетричним шифруванням.

Цифрова подпісь- метод використання шифрування з відкритим ключем для забезпечення цілісності даних і неможливості відмови від посилки. Зашифрований блок інформації після розшифровки одержувачем, ідентифікує відправника і підтверджує збереження даних. Наприклад: документ "стиснутий", HASH зашифровано за допомогою приватного ключа відправника і прикладений до документу (по суті, це означає докласти "відбиток пальця" цього документа). Одержувач використовує відкритий ключ для розшифровки отриманого повідомлення до стану "вичавки", яка потім порівнюється з "вичавки" отриманої після "стиснення" надісланого документа. Якщо обидві "вичавки" не співпали, то це означає, що документ був змінений або пошкоджений в процесі пересилання.

Шифрування з відкритим ключем - тип шифрування, при якому використовується пара ключів: відкритий, тобто вільно доступний, і відповідний йому приватний ключ, відомий тільки конкретного користувача, з додатком або сервісу, які володіють цим ключем. Ця пара ключів пов'язана таким чином, що зашифроване приватним ключем, може бути розшифровано тільки відкритим ключем і навпаки.

Симетричне шифрування - тип шифрування, при якому одержувач і відправник використовують один і той же ключ для шифрування і розшифровки. Це означає, що безліч користувачів повинні мати однакові ключі. Очевидно, що до отримання ключа користувачем шифрування неможливо, при цьому поширення ключа по мережі не є безпечним. Інші ж способи поширення, такі як спеціальний кур'єр, дорогі і повільні.

Алгоритм RSA - перша шифрувальна система з відкритим ключем, названа на честь її винахідників: Ronald Rivest, Adi Shamir і Leonard Adleman. [1]

компоненти PKI

Pki (public key infrastructure)

Основна ідея

Діяльність інфраструктури управління відкритими ключами здійснюється на основі регламенту системи. Інфраструктура відкритих ключів грунтується на використанні принципів криптографічного системи з відкритим ключем. Інфраструктура управління відкритими ключами складається з центру сертифікації УЦ [2]. кінцевих користувачів, і опціональних компонентів: центру реєстрації і мережевого довідника.

PKI оперує в роботі сертифікатами. Сертифікат - це електронний документ, який містить електронний ключ користувача, - відкритий або ж ключову пару (keypair), - інформацію про користувача, якому належить сертифікат, що засвідчує підпис центру видачі сертифікатів (УЦ) та інформацію про термін дії сертифіката.

Для того, щоб клієнт міг працювати з документом з центром, необхідно включити центр в список довірених. Після включення в цей список, будь-який сертифікат, виданий довіреною центром, вважається достовірним, а його власник - гідним довіри.

Засвідчує центр також публікує і списки відкликаних сертифікатів (Certificate Revocation List / CRL), які можуть використовувати клієнти інфраструктури відкритого ключа, коли вирішують питання про довіру сертифікату користувача і / або комп'ютера.

Створюється пара ключів або центром видачі сертифікатів (підтверджуючий центр), за запитом користувача, або ж самим користувачем за допомогою спеціального програмного забезпечення. Користувач робить запит на сертифікат, після чого, після процедури ідентифікації користувача, центр видає йому сертифікат зі своїм підписом. Цей підпис свідчить про те, що даний сертифікат виданий саме цим центром видачі сертифікатів і ніким іншим.

Архітектури PKI В основному виділяють 5 видів архітектур PKI:

  1. Проста PKI (одиночний засвідчує центр).
  2. Ієрархічна PKI.
  3. Мережева PKI.
  4. Крос-сертифіковані корпоративні PKI.
  5. Архітектура мостового УЦ.

В основному PKI діляться на різні архітектури за такими ознаками:

  1. Кількість УЦ (а також кількість УЦ, які довіряють один одному).
  2. Складність перевірки шляху сертифікації.
  3. Наслідки видачі зловмисника себе за УЦ.

Приклади використання PKI

шифрування повідомлень

Сторона Б зашифровує документ відкритим ключем боку А. Щоб переконатися, що відкритий ключ дійсно належить стороні А, сторона Б запитує сертифікат відкритого ключа у засвідчувального центру. Якщо це так, то тільки сторона А може розшифрувати повідомлення, так як володіє відповідним закритим ключем.

Електронний відбиток

Електронно-цифровий підпис (ЕЦП)

Сторона А формує ЕЦП документа і відправляє документ стороні Б. Сторона Б запитує сертифікат відкритого ключа сторони А у засвідчувального центру, а також інформацію про дійсність сертифіката. Якщо сертифікат боку А дійсний і перевірка ЕЦП пройшла успішно, значить документ був підписаний стороною А, а не кимось іншим.

Примітки