Главная страница
Навигация по странице:

  • Систематическим, расширяемым, унифицированным и легко управляемым подходом к распределению открытых ключей стало введение сертификатов открытых ключей

  • Public Key Infrastructure)

  • Структура, сервисы и архитектура PKI

  • Программные средства поддержки PKI

    		•

    Лекции ЗИ_Э. Самарский государственный архитектурностроительный университет


    Скачать 1.6 Mb.
    НазваниеСамарский государственный архитектурностроительный университет
    АнкорЛекции ЗИ_Э.doc
    Дата28.01.2017
    Размер1.6 Mb.
    Формат файлаdoc
    Имя файлаЛекции ЗИ_Э.doc
    ТипДокументы
    #870
    страница14 из 26
    1   ...   10   11   12   13   14   15   16   17   ...   26

    5.3. Инфраструктура открытых ключей PKI



    Вступивший в силу с 22 января 2002 года Федеральный закон «Об электронно-цифровой подписи (ЭЦП)» явился базовым законом, в рамках которого возможна организация защищенного документооборота на федеральном уровне. При этом ЭЦП стала иметь доказательную силу при возникновении конфликтных ситуаций.

    Одной из наиболее актуальных задач при реализации защищенного документооборота, является реализация сервиса безопасности, отвечающего за распределение криптографических ключей. Реализация угроз, нарушающих безопасное функционирование данного сервиса, может иметь катастрофическое значение для безопасности электронного документооборота. Наиболее безопасным способом реализации данного сервиса является способ, основанный на управлении открытыми ключами третьей стороной. Систематическим, расширяемым, унифицированным и легко управляемым подходом к распределению открытых ключей стало введение сертификатов открытых ключей. Технология PKI (Public Key Infrastructure) является продуманной инфраструктурой безопасности, предназначенной для распространения ОК, управления цифровыми сертификатами и ключами пользователей.

    Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП).

    Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации, конечных пользователей, центра регистрации и сетевого справочника.

    Использование инфраструктуры открытых ключей позволяет обеспечить выполнение следующих условий [16].

    1. Лицо или процесс, идентифицируемый как отправитель электронного документа, действительно является инициатором отправления.

    2. Лицо или процесс, выступающий получателем электронного документа, действительно является тем получателем, которого имел в виду отправитель.

    3. Целостность и конфиденциальность передаваемой информации не нарушена.

    Реализация PKI связана с решением ряда проблем. Приведем некоторые из них.

    1. Инструментальные системы поддержки инфраструктуры ОК должны отвечать требованиям международных и Российских стандартов. Достижение этого возможно только при использовании специальных сертифицированных программно-аппаратных компьютерных систем.

    2. Распространение и хранение ключей должно производиться в юридически точно (де-юре) определенной системе на базе международных криптографических стандартов.

    3. Администраторы и пользователи электронного документооборота с ЭЦП должны пройти обучение и получить соответствующие права и сертификаты.


    Структура, сервисы и архитектура PKI
    Основной информационной единицей, используемой при распространении ОК, является его цифровой сертификат.

    Под цифровым сертификатом понимается цифровой документ, подтверждающий соответствие открытого ключа информации, идентифицирующей владельца ключа [16].

    Цифровой сертификат позволяет защитить открытый ключ от его подделки злоумышленником. Он содержит подписанную информацию о владельце ОК, сведения об ОК, его назначении, области применения и т.д.

    В настоящее время количество приложений, использующих криптографические функции с открытым ключом, постоянно возрастает. Вместе с этим возрастает и количество разнородных сертификатов. Задачу единообразной организации сервиса управления сертификатами и решает инфраструктура открытых ключей.

    PKI представляет собой комплексную систему, обеспечивающую все необходимые сервисы для использования цифровых сертификатов, нацеленную на поддержку надежного и доверенного взаимодействия между пользователями. PKI позволяет реализовывать сервисы шифрования и выработки ЭЦП согласованно с широким кругом приложений, функционирующих в среде ОК.

    Основными компонентами технологии PKI являются следующие [5].

    1. Удостоверяющий центр.

    2. Регистрационный центр.

    3. Реестр сертификатов.

    4. Архив сертификатов.

    5. Конечные субъекты.

    Основная функция удостоверяющего центра (УЦ) - заверение цифрового сертификата ОК субъекта своей подписью, поставленной на своем секретном ключе. УЦ является как бы нотариальной конторой, подтверждающей подлинность сторон, участвующих в обмене информацией. Любой субъект может верифицировать сертификат партнера, проверив подпись УЦ под его сертификатом. Это гарантирует то, что злоумышленник не сможет выдать себя за отправителя подписанных данных, заменив значение ОК своим.

    Другими функциями УЦ являются:

    1. формирование собственного СК и подписанного сертификата;

    2. выпуск (создание и подписание) сертификатов, подчиненных УЦ;

    3. ведение базы всех изданных сертификатов и формирование списка

    аннулированных сертификатов.

    Регистрационный центр является необязательным компонентом PKI. Он может брать на себя часть функций УЦ, например, регистрацию пользователей; обеспечение их взаимодействия с УЦ; сбор и передачу УЦ информации от заявителя, вносимой в сертификат.

    Реестр сертификатов – специальный объект PKI, представляющий собой БД, хранящую сертификаты и списки аннулированных сертификатов.

    Архив сертификатов выполняет функцию долговременного хранения информации обо всех изданных сертификатах.

    Конечные субъекты – пользователи PKI, делящиеся на две категории: владельцев сертификатов и доверяющие стороны. Владельцем сертификата может быть доверенное физическое или юридическое лицо, приложение, сервер и т.д.

    Система PKI должна взаимодействовать с множеством различных приложений: программное обеспечение групповой работы, электронной почты, сетей VPN и т.д. Наиболее общая функциональная схема взаимодействия компонентов PKI представлена на рис. 5.3.

    Наиболее часто используемым подходом к реализации PKI является подход, основанный на сертификатах формата X.509.

    Формат сертификата открытого ключа X.509.V3 определен в документе RFC 3280 Certificate & CRL Profile. Он представляет собой структурированную двоичную запись, содержащую ряд полей с элементами данных, сопровождаемыми цифровой подписью издателя сертификата. Структура сертификата X.509.V3 представлена в таблице 5.1.


    Рис. 5.3. Взаимодействие компонентов PKI
    Табл. 5.1. Структура сертификата X.509.V3

    Номер поля
    Имя поля

    1
    Номер версии сертификата

    2
    Уникальный серийный номер сертификата

    3
    Идентификатор алгоритма ЭЦП, используемого для защиты сертификата от подделки

    4
    Имя издателя, выпустившего данный сертификат

    5
    Период действия сертификата (дата начала/дата конца действия)

    6
    Имя владельца секретного ключа, соответствующего ОК

    7
    Открытый ключ субъекта

    8
    Уникальный идентификатор издателя

    9
    Уникальный идентификатор субъекта

    10
    Расширения ( дополнительная информация, определяющая наличие у владельца сертификата прав доступа к той или иной системе и др.

    11
    ЭЦП сертификата


    Каждый раз, при использовании сертификата необходимо верифицировать его подпись, а также то, что сертификат является действующим. Сертификаты, срок действия которых истек, должны аннулироваться УЦ. Сертификат может также аннулироваться до истечения срока своего действия, например, при компрометации секретного ключа, увольнении служащего организации и т.д.
    Программные средства поддержки PKI
    Процесс развертывания PKI осуществляется на выбранных программных и программно-аппаратных средствах. Наиболее известными продуктами, на базе которых разворачивается инфраструктура открытых ключей, являются:

    1. Entrust/PKI фирмы Entrust Technologies.

    2. Baltimore UniCERT фирмы Baltimore Technologies LTD.

    3. BT TrustWise Onsite фирмы VeriSign Inc.

    4. IBM Trust Authority.

    5. RSA Keon Certification Authority фирмы RSA Security Inc.

    6. VCERT PKI компании ЗАО «МО ПНИЭИ».

    7. Семейство продуктов «КриптоПро».

    Для российских условий наиболее адаптированным и полнофункциональным продуктом, на базе которого можно развернуть инфраструктуру открытых ключей, является «КриптоПро».



    Рис. 5.4. Перечень разделов политики PKI
    Программный комплекс «Удостоверяющий центр» – «КриптоПро УЦ» позволяет в полном объеме реализовать инфраструктуру открытых ключей. В состав КриптоПро УЦ входят следующие компоненты:

    1. Центр сертификации, функционирующий на платформе Windows 200 Server.

    2. Центр регистрации, функционирующий на платформе Windows 2000 Server и использующий для решения своих задач базу данных Microsoft SQL 2000, Microsoft IIS 5.0, CRYPTO API 2.0.

    3. АРМ администратора ЦР, функционирующий в ОС Windows 2000 Professional в рамках Microsoft Management Console и предназначенный для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, генерацией ключей и сертификатов.

    4. АРМ пользователя, представляющий собой web-приложение, размещенное на сервере ЦР. Функционирует в ОС Windows 95 и выше. Данный АРМ обеспечивает шифрование информации, передаваемой ЦР с использованием протокола TLS с двусторонней аутентификацией.

    5. Программный интерфейс взаимодействия с УЦ.

    Архитектура УЦ КриптоПро представлена на рис. 5.5.


    Рис. 5.5. Архитектура удостоверяющего центра КриптоПро
    1. 1   ...   10   11   12   13   14   15   16   17   ...   26

    написать администратору сайта