PKI — различия между версиями

Материал из Power Security Support Wiki
Перейти к: навигация, поиск
(Участники инфраструктуры PKI)
Строка 21: Строка 21:
 
==Участники инфраструктуры PKI==
 
==Участники инфраструктуры PKI==
  
*'''Центр Регистрации''' (Регистрационный Центр) – компонент системы, являющийся не обязательной ее частью, который предназначен для регистрации пользователей.
+
'''Центр Регистрации''' (Регистрационный Центр) – компонент системы, являющийся не обязательной ее частью, который предназначен для регистрации пользователей.
Центр Сертификации (Удостоверяющий Центр) – организация или ее подразделение, выдающая сертификаты открытого ключа электронной цифровой подписи и управляющая криптографическими ключами пользователей.
+
 
*'''Узел''' – наименьшая структурная единица в сети. Узел представляет собой компьютер конечного пользователя.
+
'''Центр Сертификации''' (Удостоверяющий Центр) – организация или ее подразделение, выдающая сертификаты открытого ключа электронной цифровой подписи и управляющая криптографическими ключами пользователей.
*'''Сертификат ключа подписи''' - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
+
 
*'''Хранилище сертификатов''' (Репозиторий) – хранилище цифровых сертификатов и списков отозванных сертификатов, служащее также средством распространения между пользователями системы.  
+
'''Узел''' – наименьшая структурная единица в сети. Узел представляет собой компьютер конечного пользователя.
*'''Архив сертификатов''' – хранилище цифровых сертификатов, в котором располагаются все когда-либо изданные сертификаты с целью проверки ранее подписанных ЭЦП документов.
+
 
*'''Центр запросов''' – компонент системы, с помощью которого пользователи системы смогут отправить запрос или отозвать действующий сертификат.
+
'''Сертификат ключа подписи''' - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
 +
 
 +
'''Хранилище сертификатов''' (Репозиторий) – хранилище цифровых сертификатов и списков отозванных сертификатов, служащее также средством распространения между пользователями системы.  
 +
 
 +
'''Архив сертификатов''' – хранилище цифровых сертификатов, в котором располагаются все когда-либо изданные сертификаты с целью проверки ранее подписанных ЭЦП документов.
 +
 
 +
'''Центр запросов''' – компонент системы, с помощью которого пользователи системы смогут отправить запрос или отозвать действующий сертификат.
  
 
==Цифровой сертификат==  
 
==Цифровой сертификат==  

Версия 17:01, 7 ноября 2013

Криптография на основе открытых ключей, пожалуй, является одним из наиболее практичных инновационных решений в области математики 20 века, которое оказало огромное влияние на технологии компьютерной безопасности. Инфраструктура открытых ключей (ИОК, PKI, Public Key Infrastructure) – гибкая и масштабируемая инфраструктура для организации безопасной идентификации, аутентификации, обеспечения конфиденциальности и целостности данных в процессе взаимодействия (обмена данными) или получения каких-либо услуг. В эпоху глобальных коммуникаций и стремительного развития всемирной сети Интернет и мобильных сервисов, PKI предложило общие механизмы безопасности для применения в различных типах приложений и является неизбежным с точки зрения реализации в определенных сферах применения. Инфраструктура открытых ключей обеспечивает пользователей электронными идентификаторами (цифровыми сертификатами), включая управление и подтверждение состояния актуальности на протяжении всего жизненного цикла. Электронные идентификаторы могут рассматриваться в качестве неких «пользовательских паспортов», с помощью которых пользователи смогут получить доступ к определенным ресурсам, вести важную переписку в корпоративной или публичной сети или проводить дорогостоящие электронные транзакции.

Основная концепция

Инфраструктура открытых ключей (ИОК) – это универсальная концепция организованной поддержки криптографических средств защиты информации в крупномасштабных информационных системах в соответствии с принятыми в них политиками безопасности, которая реализует управление криптографическими ключами на всех этапах жизненного цикла, обеспечивая взаимодействие всех средств защиты распределенной системы.

Инфраструктура открытых ключей является самой гибкой, масштабируемой и безопасной технологией, которая обеспечивает пользователей информации и информационных систем (люди и устройства) цифровыми идентификаторами (сертификатами). Пользователи могут использовать цифровые сертификаты для решения различных задач: аутентификация, цифровая подпись и шифрование. В PKI у каждого пользователя есть ключевая пара и сертификат. Ключ является последовательностью цифровых данных и используется для осуществления криптографических операций таких, как подписание и шифрование. Ключевая пара состоит из открытого и закрытого ключей, где закрытый ключ является неким «секретом» и хранится только в устройстве пользователя (смарт-карте, ПК, телефоне или др.). Благодаря тому, что закрытый ключ невозможно вычислить из соответствующего ему открытого ключа, последний публично известен. Сертификат хранит в себе пользовательские данные, какую-либо проверочную информацию и сам открытый ключ и располагается в идентификационной карте пользователя. Удостоверяющий центр (УЦ) осуществляет подписание и публикацию сертификата. Подпись УЦ доказывает наличие у пользователя пары ключей.

Основные функции PKI

  • Аутентификация пользователей;
  • Проверка валидности сертификатов;
  • Обеспечение целостности данных;
  • Неотказуемость;
  • Конфиденциальность.

Ключевые принципы PKI

  • Только владелец знает о своем закрытом ключе;
  • УЦ генерирует сертификат открытого ключа, что позволяет удостоверить данный ключ;
  • Доверие выстраивается только между владельцами сертификатов (пользователями) и УЦ, но друг с другом;
  • Проверка (подтверждение/отказ) принадлежности открытого ключа заданному пользователю осуществляется УЦ.

Участники инфраструктуры PKI

Центр Регистрации (Регистрационный Центр) – компонент системы, являющийся не обязательной ее частью, который предназначен для регистрации пользователей.

Центр Сертификации (Удостоверяющий Центр) – организация или ее подразделение, выдающая сертификаты открытого ключа электронной цифровой подписи и управляющая криптографическими ключами пользователей.

Узел – наименьшая структурная единица в сети. Узел представляет собой компьютер конечного пользователя.

Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Хранилище сертификатов (Репозиторий) – хранилище цифровых сертификатов и списков отозванных сертификатов, служащее также средством распространения между пользователями системы.

Архив сертификатов – хранилище цифровых сертификатов, в котором располагаются все когда-либо изданные сертификаты с целью проверки ранее подписанных ЭЦП документов.

Центр запросов – компонент системы, с помощью которого пользователи системы смогут отправить запрос или отозвать действующий сертификат.

Цифровой сертификат

включает в себя:

  • Идентификационные данные о владельце сертификатa;
  • Уникальный открытый ключ владельца сертификата;
  • Срок действия сертификата;
  • Цифровую подпись УЦ.

Ключевые решения на рынке

  • Nexus Certificate Manager;
  • КриптоПро УЦ;
  • OpenTrust PKI;
  • Microsoft CA;
  • Rsa Keon.

Источники

  1. Запечников С. В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности. Горячая линия – Телеком, 2007. – 320 с.
  2. Полянская О. Ю., Горбатов В. С. Инфраструктура открытых ключей. Учебное пособие., Москва, 2007.
  3. NeXus PKI Solution Brief. Краткое техническое описание компании NeXus.
  4. ФЗ №1 «Об электронной цифровой подписи.»