PKI — различия между версиями
Ana (обсуждение | вклад) (→Основная концепция) |
(→Источники) |
||
| (не показано 17 промежуточных версий 2 участников) | |||
| Строка 1: | Строка 1: | ||
| + | [[image:PKI.png|border|300px|thumb|right]] | ||
Криптография на основе открытых ключей, пожалуй, является одним из наиболее практичных инновационных решений в области математики 20 века, которое оказало огромное влияние на технологии компьютерной безопасности. Инфраструктура открытых ключей (ИОК, PKI, Public Key Infrastructure) – гибкая и масштабируемая инфраструктура для организации безопасной идентификации, аутентификации, обеспечения конфиденциальности и целостности данных в процессе взаимодействия (обмена данными) или получения каких-либо услуг. В эпоху глобальных коммуникаций и стремительного развития всемирной сети Интернет и мобильных сервисов, PKI предложило общие механизмы безопасности для применения в различных типах приложений и является неизбежным с точки зрения реализации в определенных сферах применения. Инфраструктура открытых ключей обеспечивает пользователей электронными идентификаторами (цифровыми сертификатами), включая управление и подтверждение состояния актуальности на протяжении всего жизненного цикла. Электронные идентификаторы могут рассматриваться в качестве неких «пользовательских паспортов», с помощью которых пользователи смогут получить доступ к определенным ресурсам, вести важную переписку в корпоративной или публичной сети или проводить дорогостоящие электронные транзакции. | Криптография на основе открытых ключей, пожалуй, является одним из наиболее практичных инновационных решений в области математики 20 века, которое оказало огромное влияние на технологии компьютерной безопасности. Инфраструктура открытых ключей (ИОК, PKI, Public Key Infrastructure) – гибкая и масштабируемая инфраструктура для организации безопасной идентификации, аутентификации, обеспечения конфиденциальности и целостности данных в процессе взаимодействия (обмена данными) или получения каких-либо услуг. В эпоху глобальных коммуникаций и стремительного развития всемирной сети Интернет и мобильных сервисов, PKI предложило общие механизмы безопасности для применения в различных типах приложений и является неизбежным с точки зрения реализации в определенных сферах применения. Инфраструктура открытых ключей обеспечивает пользователей электронными идентификаторами (цифровыми сертификатами), включая управление и подтверждение состояния актуальности на протяжении всего жизненного цикла. Электронные идентификаторы могут рассматриваться в качестве неких «пользовательских паспортов», с помощью которых пользователи смогут получить доступ к определенным ресурсам, вести важную переписку в корпоративной или публичной сети или проводить дорогостоящие электронные транзакции. | ||
==Основная концепция== | ==Основная концепция== | ||
| − | Инфраструктура открытых ключей (ИОК) – это универсальная концепция организованной поддержки криптографических средств защиты информации в крупномасштабных информационных системах в соответствии с принятыми в них политиками безопасности, которая реализует управление криптографическими ключами на всех этапах жизненного цикла, обеспечивая взаимодействие всех средств защиты распределенной системы. | + | '''Инфраструктура открытых ключей (ИОК)''' – это универсальная концепция организованной поддержки криптографических средств защиты информации в крупномасштабных информационных системах в соответствии с принятыми в них политиками безопасности, которая реализует управление криптографическими ключами на всех этапах жизненного цикла, обеспечивая взаимодействие всех средств защиты распределенной системы. |
Инфраструктура открытых ключей является самой гибкой, масштабируемой и безопасной технологией, которая обеспечивает пользователей информации и информационных систем (люди и устройства) цифровыми идентификаторами (сертификатами). Пользователи могут использовать цифровые сертификаты для решения различных задач: аутентификация, цифровая подпись и шифрование. В PKI у каждого пользователя есть ключевая пара и сертификат. Ключ является последовательностью цифровых данных и используется для осуществления криптографических операций таких, как подписание и шифрование. Ключевая пара состоит из открытого и закрытого ключей, где закрытый ключ является неким «секретом» и хранится только в устройстве пользователя (смарт-карте, ПК, телефоне или др.). Благодаря тому, что закрытый ключ невозможно вычислить из соответствующего ему открытого ключа, последний публично известен. Сертификат хранит в себе пользовательские данные, какую-либо проверочную информацию и сам открытый ключ и располагается в идентификационной карте пользователя. Удостоверяющий центр (УЦ) осуществляет подписание и публикацию сертификата. Подпись УЦ доказывает наличие у пользователя пары ключей. | Инфраструктура открытых ключей является самой гибкой, масштабируемой и безопасной технологией, которая обеспечивает пользователей информации и информационных систем (люди и устройства) цифровыми идентификаторами (сертификатами). Пользователи могут использовать цифровые сертификаты для решения различных задач: аутентификация, цифровая подпись и шифрование. В PKI у каждого пользователя есть ключевая пара и сертификат. Ключ является последовательностью цифровых данных и используется для осуществления криптографических операций таких, как подписание и шифрование. Ключевая пара состоит из открытого и закрытого ключей, где закрытый ключ является неким «секретом» и хранится только в устройстве пользователя (смарт-карте, ПК, телефоне или др.). Благодаря тому, что закрытый ключ невозможно вычислить из соответствующего ему открытого ключа, последний публично известен. Сертификат хранит в себе пользовательские данные, какую-либо проверочную информацию и сам открытый ключ и располагается в идентификационной карте пользователя. Удостоверяющий центр (УЦ) осуществляет подписание и публикацию сертификата. Подпись УЦ доказывает наличие у пользователя пары ключей. | ||
| Строка 12: | Строка 13: | ||
*Неотказуемость; | *Неотказуемость; | ||
*Конфиденциальность. | *Конфиденциальность. | ||
| + | |||
| + | ==Ключевые принципы PKI== | ||
| + | *Только владелец знает о своем закрытом ключе; | ||
| + | *УЦ генерирует сертификат открытого ключа, что позволяет удостоверить данный ключ; | ||
| + | *Доверие выстраивается только между владельцами сертификатов (пользователями) и УЦ, но друг с другом; | ||
| + | *Проверка (подтверждение/отказ) принадлежности открытого ключа заданному пользователю осуществляется УЦ. | ||
| + | |||
| + | ==Участники инфраструктуры PKI== | ||
| + | |||
| + | '''Центр Регистрации''' (Регистрационный Центр) – компонент системы, являющийся не обязательной ее частью, который предназначен для регистрации пользователей. | ||
| + | |||
| + | '''Центр Сертификации''' (Удостоверяющий Центр) – организация или ее подразделение, выдающая сертификаты открытого ключа электронной цифровой подписи и управляющая криптографическими ключами пользователей. | ||
| + | |||
| + | '''Узел''' – наименьшая структурная единица в сети. Узел представляет собой компьютер конечного пользователя. | ||
| + | |||
| + | '''Сертификат ключа подписи''' - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи. | ||
| + | |||
| + | '''Хранилище сертификатов''' (Репозиторий) – хранилище цифровых сертификатов и списков отозванных сертификатов, служащее также средством распространения между пользователями системы. | ||
| + | |||
| + | '''Архив сертификатов''' – хранилище цифровых сертификатов, в котором располагаются все когда-либо изданные сертификаты с целью проверки ранее подписанных ЭЦП документов. | ||
| + | |||
| + | '''Центр запросов''' – компонент системы, с помощью которого пользователи системы смогут отправить запрос или отозвать действующий сертификат. | ||
| + | |||
| + | ==Цифровой сертификат== | ||
| + | включает в себя: | ||
| + | *Идентификационные данные о владельце сертификатa; | ||
| + | *Уникальный открытый ключ владельца сертификата; | ||
| + | *Срок действия сертификата; | ||
| + | *Цифровую подпись УЦ. | ||
| + | |||
| + | ==Ключевые решения на рынке== | ||
| + | *[http://powersecurity.ru/ru/solutions/opentrust/opentrust-pki/ OpenTrust PKI]; | ||
| + | *[http://powersecurity.ru/ru/solutions/nexussafe/nexus-certificate-manager/ neXus Certificate Manager]; | ||
| + | *[http://www.cryptopro.ru/products/ca КриптоПро УЦ]; | ||
| + | *Microsoft CA; | ||
| + | *Rsa Keon. | ||
| + | |||
| + | ==Источники== | ||
| + | #Запечников С. В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности. Горячая линия – Телеком, 2007. – 320 с. | ||
| + | #Полянская О. Ю., Горбатов В. С. Инфраструктура открытых ключей. Учебное пособие., Москва, 2007. | ||
| + | #[http://www.nexusgroup.com/Documents/SolutionBriefs_eng/neXus-PKI-Solution-Brief.pdf neXus PKI Solution Brief]. Краткое техническое описание компании NeXus. | ||
| + | #[http://base.garant.ru/184059/1/#block_100 ФЗ №1 «Об электронной цифровой подписи.»] | ||
Текущая версия на 15:20, 9 августа 2016
Криптография на основе открытых ключей, пожалуй, является одним из наиболее практичных инновационных решений в области математики 20 века, которое оказало огромное влияние на технологии компьютерной безопасности. Инфраструктура открытых ключей (ИОК, PKI, Public Key Infrastructure) – гибкая и масштабируемая инфраструктура для организации безопасной идентификации, аутентификации, обеспечения конфиденциальности и целостности данных в процессе взаимодействия (обмена данными) или получения каких-либо услуг. В эпоху глобальных коммуникаций и стремительного развития всемирной сети Интернет и мобильных сервисов, PKI предложило общие механизмы безопасности для применения в различных типах приложений и является неизбежным с точки зрения реализации в определенных сферах применения. Инфраструктура открытых ключей обеспечивает пользователей электронными идентификаторами (цифровыми сертификатами), включая управление и подтверждение состояния актуальности на протяжении всего жизненного цикла. Электронные идентификаторы могут рассматриваться в качестве неких «пользовательских паспортов», с помощью которых пользователи смогут получить доступ к определенным ресурсам, вести важную переписку в корпоративной или публичной сети или проводить дорогостоящие электронные транзакции.
Содержание
Основная концепция
Инфраструктура открытых ключей (ИОК) – это универсальная концепция организованной поддержки криптографических средств защиты информации в крупномасштабных информационных системах в соответствии с принятыми в них политиками безопасности, которая реализует управление криптографическими ключами на всех этапах жизненного цикла, обеспечивая взаимодействие всех средств защиты распределенной системы.
Инфраструктура открытых ключей является самой гибкой, масштабируемой и безопасной технологией, которая обеспечивает пользователей информации и информационных систем (люди и устройства) цифровыми идентификаторами (сертификатами). Пользователи могут использовать цифровые сертификаты для решения различных задач: аутентификация, цифровая подпись и шифрование. В PKI у каждого пользователя есть ключевая пара и сертификат. Ключ является последовательностью цифровых данных и используется для осуществления криптографических операций таких, как подписание и шифрование. Ключевая пара состоит из открытого и закрытого ключей, где закрытый ключ является неким «секретом» и хранится только в устройстве пользователя (смарт-карте, ПК, телефоне или др.). Благодаря тому, что закрытый ключ невозможно вычислить из соответствующего ему открытого ключа, последний публично известен. Сертификат хранит в себе пользовательские данные, какую-либо проверочную информацию и сам открытый ключ и располагается в идентификационной карте пользователя. Удостоверяющий центр (УЦ) осуществляет подписание и публикацию сертификата. Подпись УЦ доказывает наличие у пользователя пары ключей.
Основные функции PKI
- Аутентификация пользователей;
- Проверка валидности сертификатов;
- Обеспечение целостности данных;
- Неотказуемость;
- Конфиденциальность.
Ключевые принципы PKI
- Только владелец знает о своем закрытом ключе;
- УЦ генерирует сертификат открытого ключа, что позволяет удостоверить данный ключ;
- Доверие выстраивается только между владельцами сертификатов (пользователями) и УЦ, но друг с другом;
- Проверка (подтверждение/отказ) принадлежности открытого ключа заданному пользователю осуществляется УЦ.
Участники инфраструктуры PKI
Центр Регистрации (Регистрационный Центр) – компонент системы, являющийся не обязательной ее частью, который предназначен для регистрации пользователей.
Центр Сертификации (Удостоверяющий Центр) – организация или ее подразделение, выдающая сертификаты открытого ключа электронной цифровой подписи и управляющая криптографическими ключами пользователей.
Узел – наименьшая структурная единица в сети. Узел представляет собой компьютер конечного пользователя.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Хранилище сертификатов (Репозиторий) – хранилище цифровых сертификатов и списков отозванных сертификатов, служащее также средством распространения между пользователями системы.
Архив сертификатов – хранилище цифровых сертификатов, в котором располагаются все когда-либо изданные сертификаты с целью проверки ранее подписанных ЭЦП документов.
Центр запросов – компонент системы, с помощью которого пользователи системы смогут отправить запрос или отозвать действующий сертификат.
Цифровой сертификат
включает в себя:
- Идентификационные данные о владельце сертификатa;
- Уникальный открытый ключ владельца сертификата;
- Срок действия сертификата;
- Цифровую подпись УЦ.
Ключевые решения на рынке
- OpenTrust PKI;
- neXus Certificate Manager;
- КриптоПро УЦ;
- Microsoft CA;
- Rsa Keon.
Источники
- Запечников С. В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности. Горячая линия – Телеком, 2007. – 320 с.
- Полянская О. Ю., Горбатов В. С. Инфраструктура открытых ключей. Учебное пособие., Москва, 2007.
- neXus PKI Solution Brief. Краткое техническое описание компании NeXus.
- ФЗ №1 «Об электронной цифровой подписи.»
