Nyilvános kulcsú infrastruktúra PKI, az információs biztonság

előzőa következő

Ez a felelőssége minden osztály az informatikai biztonság magában foglalja a kulcs csere során. Nevezetesen, frissíteni és terjesztésére kulcsokat. Végrehajtása során az eljárás Key Distribution szimmetrikus titkosítás kihívást jelent, mert:

  • N szükséges előfizetőknek továbbítja egy védett módban N (N-1) / 2 gombok
  • rendszer bonyolult, ami gyenge pontjait is

Aszimmetrikus kriptográfia lehetővé teszi, hogy megkerüljék a problémát úgy, csak az N titkos kulcsokat. Minden felhasználó saját és a nyilvános kulcsot, hozott spec. egy titkos algoritmus. szinte lehetetlen, hogy a titok a nyilvános kulcs. Ennek alapján a felhasználó végezheti kriptográfiai lépéseket: számítását megosztott titkot, a digitális aláírás generálás. integritásának védelme és titkossága a csomag.

Ez a technológia van egy hátránya - a támadás "Man in the middle". A szerkezet nyitott PKI menedzsment legfontosabb lehetővé teszi, hogy megoldja ezt a hátrányt.

PKI működik:

PKI nyilvános kulcsú infrastruktúra szükséges megbízható működése az információs rendszerek a biztonságos adatcserét a felhasználók között. PKI szerkezet épül digitális tanúsítványok, amelyek kötődnek a személyes privát kulcs a nyilvános kulcsot.

Védelem a támadások ellen „Az ember a közepén”

Végrehajtása során a támadások „Man in the middle” támadó burkoltan helyére továbbítani felhasználó nyilvános kulcsa a nyilvános kulcsot, és hozzon létre közös titkokat minden résztvevő a folyamat, majd elfogják és dekódolja az adatokat. 1. ábra nézd meg ezt a folyamatot. Van 2 felhasználó és B. B felhasználó szabadtéri kPa kulcsot a digitális aláírás hitelesítéséhez felhasználó A. Ezután a támadó elfogott csomagok közötti tranzit felhasználók tartalommal Kpi. Alapján azt is okozna Kpi `gomb, és lesz a közvetítő a felhasználók között. Ilyen veszély megoldott segítségével nyilvános kulcsú tanúsítványokat.

A nyilvános kulcs tanúsítványok

A fő feladata a nyilvános kulcs tanúsítvány -, hogy ez egy megbízható és megfizethető. hitelesítési elvek alapjául szolgáló nyilvános kulcsú tanúsítványok, a javasolt standard X.509. A felhasználó azonosítás megbízhatósági szint megbízhatóságától függ tárolására titkos kulcs és biztonságos beszerzési forrást nyilvános kulcsokat. Hogy a felhasználó megbízik a hitelesítési algoritmust, meg kell kicsomagolni a nyilvános kulcsot egy másik felhasználó megbízható forrásból, akit bízik. A szabvány szerint X.509 CA egy hitelesítésszolgáltató. Továbbá az úgynevezett CA (Certification Authority). Az utolsó rövidítés található a törvények a FÁK országokban.

CA CA egy megbízható harmadik fél, amely megvalósítja nyilvános kulcsú hitelesítés meglévő tanúsítványokat. CA egy személyes kulcspárra (magán / nyilvános), ahol a titkos kulcs szükséges a CA aláíró tanúsítványt, és a nyilvános kulcs a CA a nyílt hozzáférést és annak szükségességét, hogy a felhasználóknak a hitelességét a kulcsot a tanúsítványt.

Nyilvános kulcsú tanúsítási - az a folyamat, amely megerősíti a hitelességét a nyilvános kulcsot, és tárolni azzal fölött. Nyilvános kulcsú tanúsítási - aláírja a nyilvános kulcsot a digitális aláírás történt a titkos kulcs tanúsító központ. CA létrehozza a felhasználó nyilvános kulcs tanúsítvány digitális aláírással alapján a felhasználó adathalmaz. X.509 szabvány meghatározza az adatok listája:

  • sorozat és számos fontos
  • időszakban a nyilvános kulcs művelet (nyitás és zárás)
  • egyedi felhasználónevet
  • adatokat a felhasználó nyilvános kulcsa: az algoritmus azonosítója, valamint a legfontosabb érték kifejezetten

A nyilvános kulcsú tanúsítvány a következő tulajdonságokkal rendelkezik:

  • Minden felhasználó, aki hozzáfér a nyilvános CA kulcs kicsomagolni a nyilvános kulcsot igazolás tartalmazza
  • Igazolásokat nem lehet meghamisította észlelése nélkül azt a tényt,

kulcsgenerálás algoritmus két módon lehet megvalósítani:

  • A felhasználó létrehoz egy pár kulcsot. A privát kulcs által vezetett rá, és a nyilvános kulcsot keresztül szállított biztonságos csatornán CA
  • CA létrehozza a kulcspárt. A nyilvános kulcs benne van a tanúsítvány és a saját kulcspár eljussanak a felhasználóhoz végrehajtásával felhasználó hitelesítési és titkosítási kulcs átviteli

A logikai struktúra és PKI alkotóelemek

PKI nyilvános kulcsú infrastruktúra - ez egy lista a program szabályai és ügynökök szükséges kulcs, a biztonsági politika és az árfolyam a védett csomagokat. A célkitűzések PKI tartalmazza:

  • nyilvántartási szabályok megsértéséért és közzététele fekete listák visszavont tanúsítványok
  • támogatási kulcs életciklus és tanúsítványok
  • végrehajtása alkalmazás integrációs eszközök és biztonsági rendszerek
  • hitelesítést támogassa folyamatok és a felhasználók azonosítását oly módon, hogy csökkenti az időt minden felhasználó a rendszerhez való hozzáférés

Biztonsági okból - egy magán biztonsági ügynök, jelezve a jogok és a környezet a felhasználó a rendszerben. Egy alkalmazás, amely kezeli kulcsokat kell működniük a PKI rendszer számos ponton. A koncepció a nyilvános kulcsú infrastruktúra PKI állapítja meg, hogy az összes említett PKI tanúsítványok kell hierarchikus szerkezet (1. ábra).

Az ilyen PKI szerkezete négy típusú tanúsítványok:

  • Végfelhasználói tanúsítvány
  • CA tanúsítvány rendelkezésre kell állnia a végrehajtása az elektronikus aláírás végfelhasználói tanúsítvány és aláírt sekrektnym kulcs felső szintű CA, és az elektronikus aláírás is rendelkezésre kell állnia az ellenőrzés
  • Önmaga által aláírt tanúsítványt. Ő a gyökér az egész PKI megbízható definíció szerint. Amikor ellenőrzi a CA tanúsítvány azt állapítjuk meg, hogy egyikük által aláírt gyökér privát kulcsot, majd bizonylata algoritmus megszűnik
  • Kereszt-tanúsítványt. Ez lehetővé teszi, hogy bővítse a munka egy adott PKI kölcsönhatása miatt két különböző főtanúsítványokat PKI

Algoritmus ellenőrzésére elektronikus aláírás a dokumentum a következő. Először vizsgáljuk meg a dokumentumok elektronikus aláírással és az elektronikus aláírás után a tanúsítványt. Az utolsó csekk a ciklusban megáll a gyökér tanúsítványt. Elektronikus aláírás a dokumentum akkor helyes, ha a helyes minden a bizonyítványok a lánc hierarchiában. Ha úgy találja, még egy rossz bizonyítványt, az összes többi korábbi, a lánc is érvénytelen. PKI logikai szerkezetét a 2. ábrán látható.

  • Tanúsítványok Katalógus - tárolja a felhasználói tanúsítványokat. Hozzáférés keresztül valósul LDAP
  • Center regisztráció RA - szerkezeti egység, amely regisztrálja a rendszer felhasználói számára
  • Felhasználó - bizonyítvány tulajdonosával, vagy a kérelmező személy az igazolás
  • A CA - Strukturális különleges egység, amelynek feladata - felhasználó nyilvános kulcsú tanúsítási

A dolgozó algoritmus CA Certification Authority:

  • CA létrehoz egy privát kulcsot, és létrehozza a CA tanúsítványokat hogy ellenőrizni fogja a felhasználói tanúsítványokat
  • a felhasználó létrehozni kérelmek minősítésre és elküldi őket, hogy CA
  • SA alapján kéri létrehozza a felhasználói tanúsítványok
  • CA létrehozza és frissíti a listákat visszavont tanúsítványok CRL
  • Tanúsítványok tagok CA és CRL listák közzétett eltörlése SA forrás nyílt hozzáférés

Tekintsük PKI funkciók:

  • tanúsítvány menedzsment funkciók:
    • nyilvántartási felhasználók (a program a készülék a felhasználó által)
    • nyilvános kulcs hitelesítés (keresztszalag felhasználó és egy nyilvános kulcs)
    • megőrzését, a privát kulcs
    • adatbázis karbantartás tanúsítványok és azok elosztása (valamennyi igazolást, kivéve a felső hierarchia lefektetett közös hozzáférési)
    • Certificate Update (algoritmus dolgozik után igazolást munkaidő)
    • kuicsfrissítést (generálása során az új kulcspár)
    • tanúsítvány visszavonási állapot meghatározása
  • kulcs menedzsment funkciók:
    • kulcsgenerálás
    • legfontosabb elosztó
  • További jellemzők:
    • archiválási szolgáltatás
    • Határon tanúsítása
    • ellenőrizze a tanúsítványt a felhasználó kérésére
    • ellenőrzi a paramétereket a nyilvános kulcs

Kölcsönhatása a nyilvános kulcsú infrastruktúra elemek

A rendszer nyilvános kulcsú infrastruktúra menedzsment lehet kapcsolni a következő modulokat tartalmazza:

  • Integrációs modul - szoftverek szerek kliens és alkalmazási rendszerek, szoftver interfészek az alkalmazásokhoz
  • eszközök tárolására kulcsfontosságú adatok és felhasználói tanúsítvány

nyilvános kulcsú infrastruktúra menedzsment rendszer van osztva alrendszerekre integrált végrehajtása biztonsági rendszerek:

  • alrendszer életciklus menedzsment kulcsfontosságú külső adathordozóra ciklusok
  • alrendszer generáló titkosító és aláírási kulcsokat
  • alrendszerének biztonságos adattárolást kulcs

3. ábra látható PKI rendszer alapja a Microsoft termékek Active Directory és a Microsoft Certification Authority.

Mi a nyilvános kulcs hitelesítés

előzőa következő