Материал из Википедии — свободной энциклопедии

Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure) - технология аутентификации с помощью открытых ключей.

Основные механизмы PKI:

• установление доверия (в рамках заданной модели доверия)
• система именования субъектов, обеспечивающая уникальность имени в рамках системы
• связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи

PKI не реализует (но может использоваться как одна из составляющих при реализации) авторизацию, доверие, именование субъектов криптографии, защиту информации или линий связи.

PKI так же может использоваться для реализации конфиденциальности, цельности передаваемых данных, неотзывности.

Содержание 1 История 2 Объекты PKI 3 Источники 4 Старый текст статьи 4.1 Основная идея 4.2 Терминология PKI 4.3 Центр сертификации (удостоверяющий центр) 4.4 Конечные пользователи 4.5 Центр Регистрации 4.6 Сетевой справочник 4.7 Некоторые основные моменты 4.7.1 УЦ и его работа 4.7.2 Процесс работы с сертификатами 4.7.3 Архитектуры PKI 4.7.3.1 1. Простая PKI 4.7.3.2 2. Иерархическая PKI 4.7.3.3 3. Сетевая PKI 4.7.3.4 4. Архитектура кросс-сертифицированной корпоративной PKI 4.7.3.5 5. Архитектура мостового УЦ

[править] История

Пока не написано, планируется к написанию.

[править] Объекты PKI

PKI реализуется в модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой может происходить только по инициативе клиента.

Основные компоненты PKI

• Удостоверяющий центр (УЦ) обеспечивает связь идентичности субъекта криптографии (обычно имя и какая-то дополнительная информация) и его открытого ключа. В очень малых PKI удостоверяющий центр может отсутствовать, в средних и крупных он обязательно присутствует.
• Сертификат открытого ключа (чаще всего просто сертификат) - подписанная удостоверяющим центром структура данных идентичности субъекта криптографии и его открытого ключа. Для подписи сертификата удостоверяющий центр выпускает сертификат, который подписывает ключём, указанным в сертификате. Такой сертификат называется самоподписанным (самоизданным).
• Регистрационный центр - компонент системы, проверяющий правильность предоставленных субъектом криптографии данных для формирования записи об идентичности. Удостоверяющий центр доверяет регистрационному центру проверку этой информации. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (т.е. состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами.
• Репозиторий - хранилище выпущенных УЦ сертификатов. В Законе РФ "Об электронной цифровой подписи" он называется реестр сертификатов ключей подписей.
• Архив сертификатов - хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.

[править] Источники

• Полянская О. Ю., Горбатов В. С. Инфраструктура открытых ключей. Учебное пособие., Москва, 2007. ISBN 978-5-94774-602-0

[править] Старый текст статьи

Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure) — современная система управления криптографической защитой, в том числе и в агрессивной среде, например Интернет.

[править] Основная идея

Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП).

Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации (удостоверяющего центра - УЦ), конечных пользователей, и опциональных компонентов: центра регистрации и сетевого справочника.

PKI оперирует в работе сертификатами. Сертификат — это электронный документ, который содержит электронный ключ пользователя, - открытый или же ключевую пару (keypair), - информацию о пользователе, которому принадлежит сертификат, удостоверяющую подпись центра выдачи сертификатов (УЦ) и информацию о сроке действия сертификата.

Для того, чтобы клиент мог работать с удостоверяющим центром, необходимо включить центр в список доверенных. После включения в этот список, любой сертификат, выданный доверенным центром, считается достоверным, а его владелец - достойным доверия.

Удостоверяющий центр так же публикует и списки отозванных сертификатов (Cetificate Revocation List/CRL), которые могут использовать клиенты инфраструктуры открытого ключа, когда решают вопрос о доверии сертификату пользователя и/или компьютера.

Ключевая пара - это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшировать, только имея закрытй ключ, и наоборот) и имеют одинаковый электронный отпечаток (fingerprint). По электронному отпечатку можно определить, соответствует ли данный открытый ключ своему закрытому ключу. Создаётся пара ключей либо центром выдачи сертификатов (удостоверяющим центром), по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, после чего, после процедуры идентификации пользователя, центр выдаёт ему сертификат со своей подписью. Эта подпись свидетельствует о том, что данный сертификат выдан именно этим центром выдачи сертификатов и никем другим.

Закрытый ключ используется для подписи данных, открытый ключ в свою очередь используется для шифрования данных. Открытый ключ известен всем, а закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в защищённом хранилище и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ всё таки станет известен злоумышленникам, то он считается скомпрометированным и должен быть отозван и заменен. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, соответствующим закрытому ключу владельца. Подпись на данных или письме гарантирует авторство полученной информации и то, что информация в процессе передачи не подверглась изменениям. Подпись двоичного кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.

[править] Терминология PKI

Из всего выше сказанного можно выделить некоторые пункты, а также добавить новые, для того чтобы определить основные термины, используемые в PKI. Итак, в PKI используются термины:

сертификат

электронный документ, который содержит электронный ключ пользователя, информацию о пользователе, удостоверяющую подпись центра выдачи сертификатов и информацию о сроке действия сертификата.

закрытый ключ

ключ, хранящийся в безопасном хранилище, созданный с использованием алгоритмов шифрования, имеющий свой уникальный электронный опечаток и использующийся для получения зашифрованных данных и подписи данных

открытый ключ

ключ, созданный в паре с закрытым ключом, имеющем такой же электронный отпечаток, как и закрытый ключ, которому он соответствует, используется для шифрования данных и проверки подписи

подписанные данные

данные, подписанные при помощи закрытого ключа пользователя

зашифрованные данные

данные, зашифрованные при помощи открытого ключа пользователя

Термины, которые необходимы для общего понимания:

путь доверия

цепочка документов, которая позволяет удостовериться, что предъявленный сертификат был выдан доверенным центром; последним звеном в этой цепочке является предъявленный сертификат, начальным - сертификат корневого доверенного центра сертификации, а промежуточными - сертификаты, выданные промежуточным центрам сертификации. Особенностью пути доверия является то, что при потере доверия к начальному звену цепочки (корневому центру сертификации) теряется доверие ко всей цепочке, то есть ко всем выданным данным центром сертификатам и к предъявленному в том числе.

личные сертификаты

сертификаты которые хранятся у пользователя в личном хранилище сертификатов.

корневые центры сертификации

центры сертификации, которым доверяют изначально все, либо руководствуясь политикой предприятия, либо из-за предустановленных настроек хранилища сертификатов, и которые могут находиться в начале пути доверия.

доверенные центры сертификации

список центров сертификации, которым доверяют владельцы сертификатов. Чтобы сделать какой либо центр доверенным, достаточно получить от него сертификат и внести его в список доверенных центров.

[править] Центр сертификации (удостоверяющий центр)

Центр сертификации является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. Центр сертификации сам формирует собственный секретный ключ, сертификат, содержащий открытый ключ данного центра и подписанный им самим.

В дальнейшем, после создания и подписи собственного сертификата, центр ведет базу данных выданных сертификатов и списков отозванных сертификатов. Для нормальной работы с центром сертификации его собственный сертификат должен быть добавлен в список доверенных на том компьютере, где его планируется использовать.

Удостоверяющий центр:

• изготавливает сертификаты ключей подписей;

• создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи;

• приостанавливает и возобновляет действие сертификатов ключей подписей, а также аннулирует их;

• ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;

• проверяет уникальность открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;

• выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;

• осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;

• может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.

[править] Конечные пользователи

Конечными пользователями являются пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами

[править] Центр Регистрации

Опциональная компонента инфраструктуры, предназначенная для регистрации конечных пользователей и обеспечения их взаимодействия с центром сертификации.

[править] Сетевой справочник

Опциональная компонента инфраструктуры, содержащая сертификаты и списки отозванных сертификатов и служащая для целей распространения этих объектов среди пользователей.

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

• обеспечение конфиденциальности информации; ???
• обеспечение целостности информации;
• обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
• обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотвергаемость).

Внедрение инфраструктуры управления открытыми ключами с учетом снижения затрат и сроков внедрения осуществляется в течение семи этапов.

• Этап 1. Анализ требований к системе.
• Этап 2. Определение архитектуры.
• Этап 3. Определение регламента.
• Этап 4. Обзор системы безопасности. Анализ и минимизация рисков.
• Этап 5. Интеграция.
• Этап 6. Развертывание.
• Этап 7. Эксплуатация.

[править] Некоторые основные моменты

В двух словах уже было сказано, для чего нужны закрытый и открытый ключи, что такое сертификат и удостоверяющие центры. Но так как это основные компоненты PKI, разберём подробнее следующие моменты:

• в чём заключается работа УЦ
• как происходит выдача сертификата, обмен открытыми ключами и как понять, что открытый ключ, который находиться перед моими глазами, не фальшивый
• а также то, какие бывают PKI.

[править] УЦ и его работа

Основная работа удостоверяющего центра заключается в идентификации пользователей и их запросов на сертификаты, в выдаче пользователям сертификатов, в проверке подлинностей сертификатов, в проверке по сертификату, не выдаёт ли пользователь сертификата себя за другого, в анулировании или отзыве сертификатов, в ведении списка отозванных сертификатов.

[править] Процесс работы с сертификатами

Для того чтобы получить сертификат, нужно найти какой-либо УЦ в интернете (альтерантивным решением является использование ПО PGP или ему подобных), после чего выписать сертификат и установить его себе в систему (примеры УЦ в интернете: http://e-notary.ru/ и http://cryptopro.ru/certsrv/). Обычно этот процесс происходит автоматически. После установки сертификата, его можно будет увидеть у себя в хранилище личных сертификатов. Для того чтобы просмотреть его свойства, достаточно просто открыть его. (Для операционных систем семейства Windows: Пуск -> Выполнить -> certmgr.msc -> OK ). В свойствах можно увидеть время действия сертифката, кем он был выдан, кому был выдан, его универсальный номер и прочие свойства. После получения сертификатов двумя или более пользователями от одного УЦ, происходит организация простейшей по архитектуре PKI. PKI – с одиночным УЦ. Пользователи, сохранив сертификаты в файл обмениваются ими (таким образом происходит обмен открытыми ключами) и начинают защищённую переписку. Проверка подлинности полученного открытого ключа проводится по электронному отпечатку этого ключа. В простейшем случае достаточно позвонить коллеге выславшему открытый ключ и сверить с ним электронный отпечаток ключа. Если он совпал – можно смело начинать защищённую переписку, если нет – обменяться ключами ещё раз.

Какие же бывают PKI по архитектуре, кроме как одиночные УЦ?!

[править] Архитектуры PKI

В основном выделяют 5 видов архитектур PKI, это:

1. простая PKI (одиночный УЦ)
2. иерархическая PKI
3. сетевая PKI
4. кросс-сертифицированные корпоративные PKI
5. архитектрура мостового УЦ

В основном PKI делятся на разные архитеткуры по следующим признакам:

• количество УЦ (а также количество УЦ, которые доверяют друг-другу)
• сложность проверки пути сертифкации
• последствия выдачи злоумышленника себя за УЦ

Рассмотрим более подробно каждую из архитектур PKI в отдельности.

[править] 1. Простая PKI

Как уже говорилось выше, самая простая из архитектур, это архитетура одиночного УЦ. В данном случае все пользователи доверяют одному УЦ и переписываются между собой. В данной архитектуре, если злоумышленник выдаст себя за УЦ, необходимо просто перевыпустить все выписанные сертификаты и продолжить нормальную работу.

[править] 2. Иерархическая PKI

Иерархическая структура – это наиболее часто встречающаяся архитектура PKI. В данном случае во главе всей структуры стоит один Головной УЦ, кторому все доверяют и ему подчиняются нижестоящие УЦ. Кроме этого головного УЦ в стуктуре присутствуют ещё не один УЦ, который подчиняется вышестоящему, которому в свою очередь приписаны какие-либо пользователи или нижестоящие УЦ. Частный пример иерархической PKI – корпоративная PKI. Например если у нас есть одна большая фирма, у которой в подчинении множество филиалов по всей стране. В главном здании фирмы есть головной УЦ и в каждом филиале есть УЦ, который подчиняется головному. В иерархической PKI, даже если злоумышленник выдал себя за какой – либо УЦ, сеть продолжает работать без него, а когда он восстанавливает нормальную работоспособность – он просто снова включается в структуру.

[править] 3. Сетевая PKI

Сетевая архитектура PKI это также частный случай иерархической архитектуры. Но в даном случае нет одного головного УЦ, которуму все доверяют. В этой архитектуре все УЦ доверяют рядом стоящим УЦ, а каждый пользователь доверяет только тому УЦ, у которого выписал сертификат. В данную архитектуру PKI легко добавляется новый УЦ. В данной архитектуре наиболее сложное построение цепочки сертификации.

[править] 4. Архитектура кросс-сертифицированной корпоративной PKI

Данный вид архитектуры можно рассматривать как смешанный вид иерархической и сетевой архитектур. Есть несколько фирм, у каждой из которых организована какая-то своя PKI, но они хотят общаться между собой, в результате чего возникает их общая межфирменная PKI.В архитектуре кросс-сертифицированной корпоративной PKI самая сложная система цепочки сертификации.

[править] 5. Архитектура мостового УЦ

Архитектура мостового УЦ разрабатывалась для того, чтобы убрать недостатки сложного процесса сертифкации в кросс-сертифицированной корпоративной PKI. В данном случае все компании доверяют не какой то одной или двум фирмам, а одному определённому мостовому УЦ, который является практически их головным УЦ, но он не является основным пунктом доверия, а выступает в роли посредника между другими УЦ.

Это незавершённая статья о компьютерах. Вы можете помочь проекту, исправив и дополнив её.