LINEBURG


<< Пред. стр.

страница 7
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Динамическое обновление
с/э
Z RFC 21 37 Secure Domain Name System защищенной системы домен-
р ных имен
Dynamic Update
Расширения системы домен-
RFC 2535 Domain Name System
ных имен
Security Extensions


даст 25*36 DSA-ключи и подписи в сис-
теме доменных имен
DSA KEYs and SIGs in the Domain
RFC 2537 RSA/MD5 KEYs and SIGs RSA/MD5-iono4H и подписи в
Name System
in the Domain Name System системе доменных имен
SFC 2538 Storing Certificates in the Хранение сертификатов в сис-
Domain Name System теме доменных имен
Хранение ключей Диффй-
pj,c 2539 Storage of Diffie-Hellman
Хэллмана в системе домен-
Keys in the Domain Name System ных имен
RFC 2540 Detached Domain Name Отделенная информация сис-
System Information темы доменных имен
RFC 251 1 DNS Security Operational Операционные требования
Considerations безопасности службы домен-
ных имен
Защищенные электронные
и Secure Electronic Transaction транзакции. Спецификация:
Specification The Business Description Описание бизнеса
ел Защищенные электронные
Secure Electronic Transaction The транзакции. Спецификация:
Specification Programmer's Guide Руководство программиста
Защищённые электронные
Secure Electronic Transaction транзакции. Спецификация:
Specification Formal Protocol Definition Описание формального про-
токола




PDF created with pdfFactory Pro trial version www.pdffactory.com
3. Стандарты и спецификации PKI 57


К стандартам S/HTTP и TLS относятся документы, опреде-
ляющие защищенный протокол передачи гипертекста HTTP и его
расширения, протокол безопасности транспортного уровня TLS, его
модификацию и использование в среде HTTP. TLS - открытый стан-
дарт, разработанный на базе протокола защищенного обмена ин-
формацией между клиентом и сервером SSL (Secure Sockets Layer)
в качестве его замены для защиты коммуникаций в Интернет. Про-
токол TLS обеспечивает конфиденциальность и целостность данных
при коммуникации двух приложений и позволяет приложениям
"клиент-сервер" взаимодействовать защищенным способом, предот-
вращающим перехват информации и подделку сообщений. Для вза-
имной аутентификации перед началом информационного взаимо-
действия приложениями используется технология PKI.

VPN
Программный Электронная Онлайновые
почта банковские
код и файлы,
операции
заверенные Приложения
Групповая
ЭЦП
работа
Электронная
Электронный торговля
обмен данными

Стандарты,
SSL IPSec опирающиеся
S/MIME
TLS РРТР наРК!

Стандарты,
Х.509 PKIX PKCS
определяющие
PKI

Рис. 3.1. Взаимосвязь стандартов в области PKI

Стандарты семейства IPSec описывают архитектуру безопас-
ности Интернет-протоколов (IP), регламентируют контроль целост-
ности на уровне IP-пакетов, аутентификацию источника данных и за-
щиту от воспроизведения ранее посланных IP-пакетов, обеспечение
конфиденциальности: шифрование содержимого IP-пакетов, а также




PDF created with pdfFactory Pro trial version www.pdffactory.com
58 __________________ Основы технологии PKI_________________

частичную защиту от анализа трафика путем применения туннель-
ного режима [153]. Документы RFC, относящиеся к IPsec, содержат
описания протокола аутентифицирующего заголовка, протокола ин-
капсулирующей защиты содержимого IP-пакетов и протокола
управления ключами и контекстами безопасности. Стандарты IPSec
обеспечивают конфиденциальность, целостность и достоверность
данных, передаваемых через открытые IP-сети.
Стандарты DNS определяют механизмы, обеспечивающие
безопасность данных инфраструктуры системы доменных имен
DNS. Документы описывают операционные требования безопасно-
сти системы, методы хранения сертификатов и ключей Диффи-
Хэллмана, динамическое обновление защищенной системы DNS,
механизм защиты передаваемых данных с помощью алгоритма
MD5, DSA и RSA-ключей и цифровых подписей. Для обеспечения
достоверной передачи DNS-данных в масштабе Интернет в систему
DNS вводятся расширения DNSSEC, задаваемые соответствующим
стандартом.
Спецификация SET предлагает инфраструктуру для защиты от
подделок платежных карт, используемых для транзакций электрон-
ной коммерции в Интернет, описывает систему аутентификации
участников расчетов, которая базируется на PKI [2]. Принципы SET
излагаются в трех книгах, содержащих сведения о правилах ведения
бизнеса на базе защищенных электронных транзакций, руководство
программиста и формальное описание протокола SET. Рис. 3.1 ил-
люстрирует взаимосвязь стандартов в области PKI.
Итак, базой для разработки стандартов в области PKI стали
стандарты серии Х.500 (хотя не все их наименования начинаются
с Х.5хх) Международного союза по телекоммуникациям (ITU),
предложившие стандартную структуру баз данных, записи в кото-
рых содержали информацию о пользователях [3]. Стандарт Х.509
ITU-T является фундаментальным стандартом, лежащим в основе
всех остальных, используемых в PKI. Однако Х.509 ITU-T не опи-
сывает полностью технологию PKI. В целях применения стандартов
Х.509 в повседневной практике комитеты по стандартизации, поль-
зователи, поставщики программных продуктов и сервисов PKI об-
ращаются к семейству стандартов РКГХ.




PDF created with pdfFactory Pro trial version www.pdffactory.com
59
3. Стандарты и спецификации PKI


3.2. Стандарты Internet X.509 PKI (PKIX)
3.2.1. Терминология и концепции PKIX
Стандарты PKIX для описания инфраструктур используют
сходные понятия инфраструктура открытых ключей PKI и инфра-
структура управления привилегиями PMI. Главное отличие между
ними заключается в том, что PKI управляет сертификатами откры-
тых ключей, a PMI - атрибутными сертификатами. Сертификат от-
крытого ключа можно сравнить с паспортом субъекта, а атрибутный
сертификат - с визой, первый обеспечивает идентификацию лично-
сти, а второй дает определенное разрешение.
Основные термины и аббревиатуры, используемые в стандартах
PKIX, а также их аналоги на русском языке приведены в табл. 3.5.
Таблица 3.5. Термины PKIX
Термин на английском языке Аббревиатура Термин на русском языке

AA
Attribute Authority Атрибутный центр
AC
Attribute Certificate Атрибутный сертификат
Certificate Сертификат
Удостоверяющий центр
CA
Certification Authority
(УШ
Политика применения
CP
Certificate Policy
сертификатов (ПГГС)
Certification Practice State- CPS Регламент УЦ
ment
ЕЕ
End-Entity Конечный субъект
Сертификат открытого
PKC
Public Key Certificate
ключа
Инфраструктура открытых
PKI
Public Key Infrastructure
ключей
Privilege Management In- Инфраструктура управления
PMI
frastructure привилегиями
Регистрационный центр
RA
Registration Authority
(РШ
Доверяющая сторона
Relying Party
Корневой УЦ
RootCA
Подчиненный УЦ
Subordinate CA
Subject Субъект
УЦ верхнего уровня
TopCA




PDF created with pdfFactory Pro trial version www.pdffactory.com
60 Основы технологии PKI


Системы, использующие сертификаты, и PKI
Результатом усилий технических специалистов по повышению
безопасности Интернет стала разработка группы протоколов безо-
пасности, таких, как S/MIME, TLS и ГРЗес. Все эти протоколы ис-
пользуют криптографию с открытыми ключами для обеспечения
сервисов конфиденциальности, целостности данных, аутентифика-
ции источника данных и неотказуемости. Цель PKI состоит в обес-
печении надежного и эффективного управления ключами и серти-
фикатами открытых ключей. Пользователи систем, основанных на
PKI, должны быть уверены, что в любой момент времени при ком-
муникации с определенным субъектом они полагаются на открытый
ключ, связанный с секретным ключом, владельцем которого являет-
ся именно этот субъект. Эта уверенность возникает в результате ис-
пользования сертификатов открытых ключей, связывающих значе-
ния открытых ключей с их владельцами. Связывание происходит
в результате проверки доверенным удостоверяющим центром лич-
ности субъекта и заверения цифровой подписью каждого сертифи-
ката открытого ключа.
ТаблицаЗ.6. ФункциональностьPKI
Функции PKI

Восстановление
Регистрация Взаимная
пары ключей сертификация
Инициализация Обновление ключей Аннулирование

Контроль периода Публикация и распро-
Сертификация
действия ключей странение сертификатов
и уведомлений об анну-
Компрометация
Генерация ключей
лировании
ключей

Согласно стандартам PKIX, PKI представляет собой комплекс
программного и аппаратного обеспечения, кадров, а также политик
и процедур, необходимых для создания, управления, хранения, рас-
пространения и аннулирования сертификатов открытых ключей.
Функциональность и компоненты PKI представлены табл. 3.6 и 3.7.
Сертификат открытого ключа имеет ограниченный период действия,




PDF created with pdfFactory Pro trial version www.pdffactory.com
_____________ 3. Стандарты и спецификации PKI ________________ 61


который зафиксирован в содержании сертификата. Поскольку кли-
ент должен иметь возможность самостоятельно проверить подпись
сертификата открытого ключа и его срок действия, сертификаты
должны открыто храниться в системах, использующих сертификаты,
и могут распространяться посредством ненадежных коммуникаций
и систем серверов.
Таблица 3.7. Компоненты PKI
Компонент Описание

Выпускают и аннулируют сертификаты
Удостоверяющие
центры (УЦ)
Регистрационные Подтверждают связывание открытых ключей и
центры (РЦ) личностей владельцев сертификатов и других атри-
бутов
Подписывают и шифруют электронные документы
Владельцы
сертификатов
Клиенты Проверяют подлинность цифровых подписей и со-
ответствующих цепочек сертификатов при помощи
открытого ключа доверенного УЦ
Реестры Хранят и делают доступными сертификаты и САС

Сертификаты открытых ключей используются в процессе ва-
лидации (подтверждения) заверенных цифровой подписью данных,
когда получатель проверяет, чтобы:
1) информация, идентифицирующая отправителя, соответст
вовала данным, содержащимся в сертификате;
2) ни один сертификат из цепочки сертификатов не был анну
лирован, и в момент подписания сообщения все сертификаты были
действительными;
3) сертификат использовался отправителем по назначению;
4) данные не были изменены с момента создания ЭЦП.
В результате проверок получатель может принять данные,
подписанные отправителем.
Общая схема функционирования PKI представлена на рис.3.1.
Конечный субъект отправляет запрос на сертификат в регистраци-
онный центр (транзакция управления). Если запрос фактически
одобрен, то направляется непосредственно в удостоверяющий центр




PDF created with pdfFactory Pro trial version www.pdffactory.com
62 Основы технологии РК1


для заверения цифровой подписью. Удостоверяющий центр прове-
ряет запрос на сертификат, и если тот проходит верификацию, то
подписывается и выпускается сертификат. Для публикации серти-
фикат направляется в реестр сертификатов, в зависимости от кон-
кретной конфигурации PKI эта функция может быть возложена на
регистрационный или удостоверяющий центр.

Операционные транзакции
и транзакции управления

Конечный
Р субъект
Е
Е
С
Субъекты
Т
управления
Р PKI

С
Е
Р
Т
И
Ф
И
К
Публикует сертификат и САС
А
Т
Транзакции
О
управления
В




Рис. 3.1. Схема функционирования PKI
На рис. 3.1 показаны все возможные коммуникации между ко-
нечным субъектом и удостоверяющим центром. Процесс аннулиро-
вания сертификата аналогичен процессу его генерации. Конечный
субъект запрашивает удостоверяющий центр об аннулировании сво-
его сертификата, регистрационный центр принимает решение и на-
правляет запрос об аннулировании в УЦ. Удостоверяющий центр
вносит изменения в список аннулированных сертификатов и публи-
кует его в реестре. Конечные субъекты могут проверить действи-
тельность конкретного сертификата через операционный протокол.




PDF created with pdfFactory Pro trial version www.pdffactory.com
______________ 3. Стандарты и спецификации РК1 ________________63


Операционные протоколы - это протоколы для доставки сер-
тификатов (или информации об их статусе) и списков аннулирован-
ных сертификатов к клиентским системам, использующим сертифи-
каты. Существуют разнообразные механизмы распространения сер-
тификатов и САС с использованием протоколов LDAP, HTTP и FTP.
Например, поиск САС для проверки статуса сертификата осуществ-
ляет операционный протокол.
Протоколы управления требуются для поддержки взаимодей-
ствий в онлайновом режиме между пользователем PKI и субъектами
управления.
Протоколы управления используются при:
1) регистрации субъекта для получения сертификата;
2) инициализации (например, генерации пары ключей);
3) выпуске сертификата;
4) восстановлении пары ключей;
5) обновлении пары ключей по истечении срока действия сер
тификата;
6) обращении с запросом об аннулировании сертификата;
7) взаимной сертификации, когда два удостоверяющих центра
обмениваются информацией для генерации взаимного сертификата.
Политика применения сертификатов и регламент удостоверяющего
центра содержатся в документах, описывающих обязательства сто
рон и правила использования сертификатов.
Системы, использующие сертификаты, и PMI Многие системы
используют сертификаты открытых ключей для принятия решений
по управлению доступом, основанному на идентификации. Такие
решения принимаются только после того, как пользователь докажет,
что имеет доступ к секретному ключу, который соответствует
открытому ключу, содержащемуся в сертификате.
Для некоторых систем этого бывает достаточно, но в настоя-
щее время появляется потребность в управлении доступом, осно-
ванном на определенных принципах, ролях или должностях. Тогда
для принятия решений по управлению доступом требуется дополни-
тельная информация, которая обычно не включается в сертификат,
так как период жизни подобной информации бывает намного меньше




PDF created with pdfFactory Pro trial version www.pdffactory.com
64 ___________________ Основы технологии PKl _________________

<< Пред. стр.

страница 7
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign