Nyilvános kulcsú infrastruktúra PKI, az információs biztonság
Ez a felelőssége minden osztály az informatikai biztonság magában foglalja a kulcs csere során. Nevezetesen, frissíteni és terjesztésére kulcsokat. Végrehajtása során az eljárás Key Distribution szimmetrikus titkosítás kihívást jelent, mert:
- N szükséges előfizetőknek továbbítja egy védett módban N (N-1) / 2 gombok
- rendszer bonyolult, ami gyenge pontjait is
Aszimmetrikus kriptográfia lehetővé teszi, hogy megkerüljék a problémát úgy, csak az N titkos kulcsokat. Minden felhasználó saját és a nyilvános kulcsot, hozott spec. egy titkos algoritmus. szinte lehetetlen, hogy a titok a nyilvános kulcs. Ennek alapján a felhasználó végezheti kriptográfiai lépéseket: számítását megosztott titkot, a digitális aláírás generálás. integritásának védelme és titkossága a csomag.
Ez a technológia van egy hátránya - a támadás "Man in the middle". A szerkezet nyitott PKI menedzsment legfontosabb lehetővé teszi, hogy megoldja ezt a hátrányt.
PKI működik:
PKI nyilvános kulcsú infrastruktúra szükséges megbízható működése az információs rendszerek a biztonságos adatcserét a felhasználók között. PKI szerkezet épül digitális tanúsítványok, amelyek kötődnek a személyes privát kulcs a nyilvános kulcsot.
Védelem a támadások ellen „Az ember a közepén”
Végrehajtása során a támadások „Man in the middle” támadó burkoltan helyére továbbítani felhasználó nyilvános kulcsa a nyilvános kulcsot, és hozzon létre közös titkokat minden résztvevő a folyamat, majd elfogják és dekódolja az adatokat. 1. ábra nézd meg ezt a folyamatot. Van 2 felhasználó és B. B felhasználó szabadtéri kPa kulcsot a digitális aláírás hitelesítéséhez felhasználó A. Ezután a támadó elfogott csomagok közötti tranzit felhasználók tartalommal Kpi. Alapján azt is okozna Kpi `gomb, és lesz a közvetítő a felhasználók között. Ilyen veszély megoldott segítségével nyilvános kulcsú tanúsítványokat.
A nyilvános kulcs tanúsítványok
A fő feladata a nyilvános kulcs tanúsítvány -, hogy ez egy megbízható és megfizethető. hitelesítési elvek alapjául szolgáló nyilvános kulcsú tanúsítványok, a javasolt standard X.509. A felhasználó azonosítás megbízhatósági szint megbízhatóságától függ tárolására titkos kulcs és biztonságos beszerzési forrást nyilvános kulcsokat. Hogy a felhasználó megbízik a hitelesítési algoritmust, meg kell kicsomagolni a nyilvános kulcsot egy másik felhasználó megbízható forrásból, akit bízik. A szabvány szerint X.509 CA egy hitelesítésszolgáltató. Továbbá az úgynevezett CA (Certification Authority). Az utolsó rövidítés található a törvények a FÁK országokban.
CA CA egy megbízható harmadik fél, amely megvalósítja nyilvános kulcsú hitelesítés meglévő tanúsítványokat. CA egy személyes kulcspárra (magán / nyilvános), ahol a titkos kulcs szükséges a CA aláíró tanúsítványt, és a nyilvános kulcs a CA a nyílt hozzáférést és annak szükségességét, hogy a felhasználóknak a hitelességét a kulcsot a tanúsítványt.
Nyilvános kulcsú tanúsítási - az a folyamat, amely megerősíti a hitelességét a nyilvános kulcsot, és tárolni azzal fölött. Nyilvános kulcsú tanúsítási - aláírja a nyilvános kulcsot a digitális aláírás történt a titkos kulcs tanúsító központ. CA létrehozza a felhasználó nyilvános kulcs tanúsítvány digitális aláírással alapján a felhasználó adathalmaz. X.509 szabvány meghatározza az adatok listája:
- sorozat és számos fontos
- időszakban a nyilvános kulcs művelet (nyitás és zárás)
- egyedi felhasználónevet
- adatokat a felhasználó nyilvános kulcsa: az algoritmus azonosítója, valamint a legfontosabb érték kifejezetten
A nyilvános kulcsú tanúsítvány a következő tulajdonságokkal rendelkezik:
- Minden felhasználó, aki hozzáfér a nyilvános CA kulcs kicsomagolni a nyilvános kulcsot igazolás tartalmazza
- Igazolásokat nem lehet meghamisította észlelése nélkül azt a tényt,
kulcsgenerálás algoritmus két módon lehet megvalósítani:
- A felhasználó létrehoz egy pár kulcsot. A privát kulcs által vezetett rá, és a nyilvános kulcsot keresztül szállított biztonságos csatornán CA
- CA létrehozza a kulcspárt. A nyilvános kulcs benne van a tanúsítvány és a saját kulcspár eljussanak a felhasználóhoz végrehajtásával felhasználó hitelesítési és titkosítási kulcs átviteli
A logikai struktúra és PKI alkotóelemek
PKI nyilvános kulcsú infrastruktúra - ez egy lista a program szabályai és ügynökök szükséges kulcs, a biztonsági politika és az árfolyam a védett csomagokat. A célkitűzések PKI tartalmazza:
- nyilvántartási szabályok megsértéséért és közzététele fekete listák visszavont tanúsítványok
- támogatási kulcs életciklus és tanúsítványok
- végrehajtása alkalmazás integrációs eszközök és biztonsági rendszerek
- hitelesítést támogassa folyamatok és a felhasználók azonosítását oly módon, hogy csökkenti az időt minden felhasználó a rendszerhez való hozzáférés
Biztonsági okból - egy magán biztonsági ügynök, jelezve a jogok és a környezet a felhasználó a rendszerben. Egy alkalmazás, amely kezeli kulcsokat kell működniük a PKI rendszer számos ponton. A koncepció a nyilvános kulcsú infrastruktúra PKI állapítja meg, hogy az összes említett PKI tanúsítványok kell hierarchikus szerkezet (1. ábra).
Az ilyen PKI szerkezete négy típusú tanúsítványok:
- Végfelhasználói tanúsítvány
- CA tanúsítvány rendelkezésre kell állnia a végrehajtása az elektronikus aláírás végfelhasználói tanúsítvány és aláírt sekrektnym kulcs felső szintű CA, és az elektronikus aláírás is rendelkezésre kell állnia az ellenőrzés
- Önmaga által aláírt tanúsítványt. Ő a gyökér az egész PKI megbízható definíció szerint. Amikor ellenőrzi a CA tanúsítvány azt állapítjuk meg, hogy egyikük által aláírt gyökér privát kulcsot, majd bizonylata algoritmus megszűnik
- Kereszt-tanúsítványt. Ez lehetővé teszi, hogy bővítse a munka egy adott PKI kölcsönhatása miatt két különböző főtanúsítványokat PKI
Algoritmus ellenőrzésére elektronikus aláírás a dokumentum a következő. Először vizsgáljuk meg a dokumentumok elektronikus aláírással és az elektronikus aláírás után a tanúsítványt. Az utolsó csekk a ciklusban megáll a gyökér tanúsítványt. Elektronikus aláírás a dokumentum akkor helyes, ha a helyes minden a bizonyítványok a lánc hierarchiában. Ha úgy találja, még egy rossz bizonyítványt, az összes többi korábbi, a lánc is érvénytelen. PKI logikai szerkezetét a 2. ábrán látható.
- Tanúsítványok Katalógus - tárolja a felhasználói tanúsítványokat. Hozzáférés keresztül valósul LDAP
- Center regisztráció RA - szerkezeti egység, amely regisztrálja a rendszer felhasználói számára
- Felhasználó - bizonyítvány tulajdonosával, vagy a kérelmező személy az igazolás
- A CA - Strukturális különleges egység, amelynek feladata - felhasználó nyilvános kulcsú tanúsítási
A dolgozó algoritmus CA Certification Authority:
- CA létrehoz egy privát kulcsot, és létrehozza a CA tanúsítványokat hogy ellenőrizni fogja a felhasználói tanúsítványokat
- a felhasználó létrehozni kérelmek minősítésre és elküldi őket, hogy CA
- SA alapján kéri létrehozza a felhasználói tanúsítványok
- CA létrehozza és frissíti a listákat visszavont tanúsítványok CRL
- Tanúsítványok tagok CA és CRL listák közzétett eltörlése SA forrás nyílt hozzáférés
Tekintsük PKI funkciók:
- tanúsítvány menedzsment funkciók:
- nyilvántartási felhasználók (a program a készülék a felhasználó által)
- nyilvános kulcs hitelesítés (keresztszalag felhasználó és egy nyilvános kulcs)
- megőrzését, a privát kulcs
- adatbázis karbantartás tanúsítványok és azok elosztása (valamennyi igazolást, kivéve a felső hierarchia lefektetett közös hozzáférési)
- Certificate Update (algoritmus dolgozik után igazolást munkaidő)
- kuicsfrissítést (generálása során az új kulcspár)
- tanúsítvány visszavonási állapot meghatározása
- kulcs menedzsment funkciók:
- kulcsgenerálás
- legfontosabb elosztó
- További jellemzők:
- archiválási szolgáltatás
- Határon tanúsítása
- ellenőrizze a tanúsítványt a felhasználó kérésére
- ellenőrzi a paramétereket a nyilvános kulcs
Kölcsönhatása a nyilvános kulcsú infrastruktúra elemek
A rendszer nyilvános kulcsú infrastruktúra menedzsment lehet kapcsolni a következő modulokat tartalmazza:
- Integrációs modul - szoftverek szerek kliens és alkalmazási rendszerek, szoftver interfészek az alkalmazásokhoz
- eszközök tárolására kulcsfontosságú adatok és felhasználói tanúsítvány
nyilvános kulcsú infrastruktúra menedzsment rendszer van osztva alrendszerekre integrált végrehajtása biztonsági rendszerek:
- alrendszer életciklus menedzsment kulcsfontosságú külső adathordozóra ciklusok
- alrendszer generáló titkosító és aláírási kulcsokat
- alrendszerének biztonságos adattárolást kulcs
3. ábra látható PKI rendszer alapja a Microsoft termékek Active Directory és a Microsoft Certification Authority.