LINEBURG


<< Пред. стр.

страница 6
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>





Интернет


Внутрикорпоративный
межсетевой экран




Рис 2.4. Физическая топология PKI

В связи с необходимостью оперативного получения пользова-
телями информации о статусе сертификатов и данных из реестров
сертификатов удостоверяющих центров разных PKI серверы катало-
гов должны быть доступны через Интернет. Однако некоторые ор-
ганизации используют сервер каталогов шире, чем просто хранили-
ще сертификатов, в частности для хранения корпоративных данных,
в том числе и конфиденциальных. В этом случае проблема защи-
щенности данных решается следующим образом: корпоративные
пользователи получают доступ к основному серверу каталогов, а все




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________ 2. Структура, сервисы и архитектура PKI_____________ 49


остальные внешние пользователи, системы и организации - к погра-
ничному серверу (см. рис. 2.4).
К основным общим требованиям безопасности корпоративной
PKI относятся:
• продуманная политика безопасности;
• надежное программное обеспечение компонентов PKI;
• безопасная / надежная связь между компонентами (напри
мер, по протоколам IPSec, SSL и т.п.).
Каждый компонент, чтобы быть частью PKI, должен удовле-
творять критерию безопасности. Этот критерий характеризует необ-
ходимый для целей бизнеса уровень защищенности в пределах до-
пустимого уровня риска. Механизмы безопасности, обеспечиваю-
щие заданный уровень защищенности, обычно подразделяют на ме-
ханизмы защиты аппаратных средств, компьютерной платформы,
сети и приложений. PKI-совместимые приложения не позволяют
обеспечить полную безопасность корпоративной сети и должны
бить дополнены другими средствами защиты, например, межсете-
выми экранами, сервисами аутентифицируемых имен (службами
имен) и строгим контролем администратора сети.




PDF created with pdfFactory Pro trial version www.pdffactory.com
50 Основы технологии РК1


3. СТАНДАРТЫ И СПЕЦИФИКАЦИИ PKI
3.1. Стандарты в области PKI
Стандарты играют существенную роль в развертывании и ис-
пользовании PKI. Стандартный подход особенно важен при регули-
ровании процедур регистрации и выработки ключа, задании формата
сертификата и списка аннулированных сертификатов, формата
криптографически защищенных данных и описании онлайновых
протоколов. Стандартизация в области PKI позволяет различным
приложениям взаимодействовать между собой с использованием
единой PKJ [164]. Стандарты в области PKI можно разбить на четы-
ре группы (см. табл. 3.1), каждая из которых относится к определен-
ному технологическому сегменту, необходимому для создания PKI
[41].
К первой группе (см. табл. 3.1) можно отнести стандарты серии
X, подготовленные Международным союзом по телекоммуникациям
ITU (International Telecommunications Union) и стандарты Междуна-
родной организации стандартизации ISO (International Organization
for Standardization), относящиеся к PKI [137]. Они признаны в меж-
дународном масштабе и содержат описания концепций, моделей
и сервиса каталога (Х.500) и формализуют процедуру аутентифика-
ции (Х.509). Стандарт Х.509 первоначально предназначался для
спецификации аутентификации при использовании в составе серви-
сов каталога Х.500. С течением времени Х.509 претерпел ряд изме-
нений, и его последняя (третья) версия была стандартизована груп-
пой инженерной поддержки Интернет - Internet Engineering Task
Force (IETF). Организация IETF является открытым интернациональ-
ным сообществом исследователей, разработчиков сетевых протоко-
лов, операторов и производителей, занимающихся проблемами раз-
вития Интернет и обеспечением непрерывного функционирования
существующей инфраструктуры.
Документ Х.509 регулирует хранение в каталоге и получение
данных аутентификации. Он характеризует криптосистему с откры-
тым ключом как метод строгой аутентификации, который базирует-
ся на создании, управлении и свободном доступе к сертификату,




PDF created with pdfFactory Pro trial version www.pdffactory.com
51
3. Стандарты и спецификации РК1


связывающему субъекта (пользователя) с его открытым ключом.
Синтаксис сертификатов формата Х.509 выражается с помо-
щью особой нотации, так называемой абстрактной синтаксической
нотации версии 1 (Abstract Syntax Notation One - ASN.l), которая
была предложена комитетом разработчиков стандартов взаимодей-
ствия открытых систем OSI (Open System Interconnection) для ис-
пользования с протоколами Х.500. ASN. 1 описывает синтаксис раз-
личных структур данных, предоставляя четко определенные прими-
тивные объекты и средства описания комбинаций примитивных
объектов [2]. Форматы электронного сертификата и списка аннули-
рованных сертификатов, предложенные Х.509, фактически призна-
ны стандартом и получили всеобщее распространение независимо от
Х.500. Как показало время, наиболее ценной в стандарте Х.509 ока-
залась не сама процедура, а ее служебный элемент - структура сер-
тификатов, хранящих имя пользователя, криптографические ключи
и сопутствующую информацию [8].
ТаблицаЗ.1.1 группа стандартов
Номер и название стандарта Содержание стандарта

Каталог: обзор концепций, моделей и ус-
Х.500
луг
Х.509 Каталог: структура аутентификации
Проект изменений и дополнений для
Х.509а продления срока действия сертификатов
(расширение Версии 3)
Х208 (КОЛЕС 8825) •Abstract
Абстрактная синтаксическая нотация
Syntax Notation UASN.1)
Основные правила кодирования для
Ш09
ASN.1
ШОЛЕС 8824 [object
Идентификаторы объектов
Identifiers (OIDs)
ШОДЕС 9594/8 HSyectory
Сервисы каталога (Х.509)
Services (X.509)

Стандарты второй группы (см. табл. 3.2) разработаны основным
центром по выпуску согласованных стандартов в области PKI,




PDF created with pdfFactory Pro trial version www.pdffactory.com
52 Основы технологии PKI


рабочей группой организации IETF, известной как группа PKIX (от
сокращения PKI for X.509 certificates) [134].
Таблица 3.2. II группа стандартов
Номер и название стандарта Содержание стандарта

RFC 2401 Инфраструктура открытых ключей
Certificate Management Protocols Интернет X.509: протоколы управ-
(CMP) ления сертификатами
RFC 25 11 Certificate Request Протокол запроса на сертификат
Protocol
KFCTS27 Certificate Policy and Политика применения сертифика-
Certification Practices Framework тов и структура регламента
ЁРС12559 LDAP V2 Operational Эксплуатационные протоколы ин-
Protocols фраструктуры открытых ключей

RFC12560 Online Certificate Онлайновый протокол статуса сер-
Status Protocol (OCSP) тификата
RFC 2585 HTTP/FTP Применение протоколов HTTP/FTP
Operations для получения из реестра PKI
сертификатов и САС в среде
Схема поддержки ИНК
RFC 2587
LDAP v2
LDAP V2 Schema
RFC 2797 Certificate Management Протокол управления сертифика-
Messages over CMS (CMC) тами на базе сообщений управле-
ния сертификатами
˜RFC 2375 Diffie-Hellman Proof-of- Алгоритмы Диффи-Хэлмана дока-
Possession (POP) Algorithms зывания владения
RFC 3029 Data Validation and Протоколы сервера сертификации
Certification Server Protocols и проверки достоверности данных
RFC 3039 Формат сертификата ограниченного
Qualified Certificates Profile пользования

RFC 3161 Time-Stamp Протокол пометки времени
Protocol (JSP)

RFC 3272 (бывший RFC 2528)
Алгоритмы и идентификаторы для
Algorithms and Identifiers for the Internet
профилей сертификатов и САС
X.509 Public Key Infrastructure Cer-
PKIX
tificate and Certificate Revocation List
(CRL) Profile
RFC 3280 (бывший RFC 2459) Форматы сертификата и списка
Certificate & CRL Profile аннулированных сертификатов
RFC 3281 An Internet Attribute Формат атрибутного сертификата
Certificate Profile for Authorization для авторизации




PDF created with pdfFactory Pro trial version www.pdffactory.com
3. Стандарты и спецификации PKI 53

Документы РКГХ определяют политику применения сертифи-
катов и структуру регламента УЦ, форматы, алгоритмы и идентифи-
каторы сертификата и САС Х.509, схему поддержки PKIX в среде
LDAP v2, форматы атрибутных сертификатов и сертификатов огра-
ниченного пользования, описывают протоколы статуса сертифика-
тов, запроса на сертификацию, проставления метки времени, экс-
плуатационные протоколы PKI.
Т а б л и ц а 3.3. III группа стандартов
Номер и название стандарта Содержание стандарта

Механизмы шифрования и подписания
PKCS#1 данных методом RSA. Примечание:
RSA Cryptography Стандарты PKCS #2 and PKCS #4 были
объединены в ключей методом Диффи-
Согласование PKCS #1
PKCS #3
Diffie-Hellman Key Agreement Хеллмана
PKCS #5 Шифрование секретным ключом, соз-
Password-Based Cryptography данным на основе пароля.
PKCS #6 Синтаксис расширенного сертификата
Extended-Certificate Syntax
PKCS#7 Синтаксис криптографических сообще-
.Cryptographic Message Syntax ний
PKCS #8 Синтаксис данных секретного ключа
Private-Key Information Syntax
PKCS #9 Особые типы атрибутов для использо-
Selected Attribute Types вания в других PKCS стандартах.
PKCS#10 Стандарт синтаксиса запроса на серти-
(RFC2314) Ш cation фикацию
P C# 1 Syntax
Request
K S1 Прикладной программный интерфейс
Cit•graphic Token Interface oki)
ro
p Cryptoki для криптографических уст-
ройств типа смарт-карт и карт PCMCIA
PKCS #12 . Синтаксис обмена персональными дан-
personal Information Exchange ными пользователя (секретными клю-
чами, различными тайнами и т.п.)
Механизмы шифрования и подписания
PKcs #13 данных методом эллиптических кривых
Miptic Curve Cryptography
CPKCS#15 Формат данных, хранящихся на крипто-
Cryptographic Token Information графических токенах (является допол-
нением к PKCS #1 1)
Format




PDF created with pdfFactory Pro trial version www.pdffactory.com
54 ____________________Основы технологии PKI _________________


Третью группу образуют стандарты криптографии с открыты-
ми ключами PKCS (Public Key Cryptography Standards), разработан-
ные компанией RSA Security Inc. [168] совместно с неофициальным
консорциумом, в состав которого входили компании Apple, Micro-
soft, DEC, Lotus, Sun и MIT. Документы PKCS признаны симпозиу-
мом разработчиков стандартов взаимодействия открытых систем
методом реализации стандартов OSI. Стандарты PKCS (см. табл. 3.3)
обеспечивают поддержку криптографических процессов при выпол-
нении защищенного шифрованием информационного обмена между
субъектами. Стандарты PKCS ориентированы на двоичные и ASCII
данные и совместимы со стандартом ITU-T X.509. В PKCS входят
алгоритмически зависимые и независимые реализации стандартов
[157]. Многие из них опираются на систему шифрования с откры-
тыми ключами RSA, названную по инициалам авторов Ривеста,
Шамира и Адлемана, метод эллиптических кривых и метод согласо-
вания ключей Диффи-Хэллмана, подробно описанные в трех соот-
ветствующих криптографических стандартах.
Кроме того, стандарты PKCS определяют алгоритмически не-
зависимый синтаксис криптографических сообщений, данных сек-
ретного ключа, запросов на сертификацию, расширенных сертифи-
катов, обмена персональными данными пользователя, что позволяет
реализовать любой криптографический алгоритм в соответствии со
стандартным синтаксисом и обеспечить взаимодействие самых раз-
ных приложений. Большинство стандартов, использующих крипто-
графию, разработано с учетом применения PKI.
В четвертую группу объединены дополнительные, связанные
с PKI стандарты S/MIME, S/HTTP, TLS, IPSec, DNS и SET (см.
табл. 3.4). Стандарты S/MIME (Secure/Multipurpose Internet Mail
Extensions) предназначены для обеспечения защищенного обмена
сообщениями в Интернет. Защищенный протокол электронной поч-
ты S/MIME базируется на технологии шифрования и электронной
подписи, разработанной компанией RSA Security Inc., и использует-
ся для предупреждения возможного перехвата или подделки почто-
вых сообщений [142]. Семейство стандартов S/MIME описывает
синтаксис криптографических сообщений, управление сертифика-
тами в среде S/MIME, процедуры и атрибуты дополнительных сео-




PDF created with pdfFactory Pro trial version www.pdffactory.com
3. Стандарты и спецификации РК1 55


висов безопасности для почтовых приложений, к которым относятся
заверенные цифровой подписью уведомления о приеме сообщений,
метки безопасности и защищенные списки рассылки электронной
почты.
ТаблицаЗ.4. ГУ группа стандартов
Номер и название стандарта Содержание стандарта

RFC 2311 S/MIME Version 2 Спецификация сообщений
Message Specification S/MIME версии 2
RFC 23 12 S/MIMEv2 Certificate Управление сертификатами




1
'
Handling S/MIME версии 2
RFC 2630 Cryptographic Синтаксис криптографиче-
Message Syntax (CMS) ских сообщений

RFC 2632 J5/MIMEV3 Certificate Управление сертификатами
Handling^ hS/MIME версии 3
RFC 2633 S/MIME V3 Message Спецификация сообщений
Specification S/MIME версии 3




1
jypC 2634
Сервисы безопасности для
Enhanced Security Services for
S/MIME
S/MIME
RFC 2785 Methods for Avoiding the Методы отражения атак на
"Small-Subgroup" Attacks on the основе метода согласования
Diffie-Hellman Key Agreement ключей Диффи-Хэллмана для
Method for S/MIME S/MIME
Протокол безопасности
1 S/HTTP TLS




RFC 2246 TLS Protocol
транспортного уровня TLS
Version 1.0
версии 1
Расширения безопасности для
RFC 2659 Security Extensions
протокола передачи гипертек-
For HTML
ста HTTP
RFC 2660 The Secure HyperText
Защищенный протокол HTTP
Transfer Protocol
RFC 2817 Upgrading to TLS Модификация протокола TLS
Within HTTP в среде HTTP
RFC 2818 HTTP Использование протокола
Over TLS TLS для защищенных HTTP
соединений через Интернет




PDF created with pdfFactory Pro trial version www.pdffactory.com
Основы технологии PKI
56


Окончание таблицы 3.4.
Номер и название стандарта Содержание стандарта


8 Архитектура безопасности
RFC 2401 Security Architecture for
Интернет-протокола
(Л the Internet Protocol
Протокол аутентифицирую-
(X
RFC 2402 IP
)-Н
щего заголовка
Authentication Header
Протокол инкапсулирующей
ТЙРС5406 IP Encapsulating Security
защиты содержимого IP-
Payload (ESP)
пакетов
Интернет-протокол управле-
RFC 2408 Internet Security
ния ключами и контекстами
Association and Key Management
безопасности
Protocol (ISAKMP)

<< Пред. стр.

страница 6
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign