Информационные технологии
для бизнеса с 1989 года

ГлавнаяИнфраструктура открытых ключей

Инфраструктура открытых ключей

Public Key Infrastructure (PKI) - совокупность сервисов для управления ключами и цифровыми сертификатами пользователей, программ и систем. PKI использует технологию открытых ключей для:

  • идентификации участников электронного обмена (пользователей, программ, систем),
  • обеспечения конфиденциальности информации,
  • контроля за целостностью информации,
  • установления происхождения информации.

Компоненты PKI

  • Сертификационный центр (Certificate Authority (CA)) - часть системы открытых ключей, которая выпускает сертификат для подтверждения прав пользователей или систем обратившихся с запросом. Она создает сертификат и подписывает его, используя частный ключ. Благодаря своей функции по созданию сертификатов, сертификационный центр является центральной частью PKI.
  • Хранилище сертификатов (Certificate Repository). Хранилище действующих сертификатов и списка аннулированных (Certificate Revocation Lists (CRLs)). Приложения проверяют пригодность сертификата и уровень доступа предоставляемый им, сверяя с образцом содержащимся в хранилище.
  • Сервер восстановления ключей (Key Recovery Server) - сервер, осуществляющий автоматическое восстановление ключей, если данный сервис установлен.
  • PKI-готовые приложения (PKI-Enabled Application) - приложения, которые могут использовать средства PKI для обеспечения безопасности. PKI управляет цифровыми сертификатами и ключами, используемыми для шифрования информации, содержащейся на web-серверах, при использовании электронной почты, при обмене сообщениями, при просмотре Интернет-страниц и пересылке данных. Некоторые приложения изначально могут использовать PKI, а другие требуют внесения изменений программистами.
  • Регистрационный центр (Registration Authority) - модуль отвечающий за регистрацию пользователей и принятие запросов на сертификат.
  • Сервер безопасности (Security Server) - сервер, который обеспечивает управление доступом пользователей, цифровыми сертификатами и надежными взаимосвязями в среде PKI. Сервер безопасности централизованно управляет всеми пользователями, сертификатами, связями с сертификационным центром, отчетами и проверяет список аннулированных сертификатов.

Функции PKI

  • Регистрация (Registration) - процесс сбора информации о пользователе и проверки ее подлинности, которая затем используется при регистрации пользователя, в соответствии с правилами безопасности.
  • Выдача сертификата (Certificate Issuance). Как только CA подписал сертификат он выдается просителю и/или отправляется в хранилище сертификатов. СА проставляет на сертификатах срок действия, требуя таким образом периодического возобновления сертификата.
  • Аннулирование сертификата (Certificate Revocation). Сертификат может стать недействительным до окончания срока действия в силу различных причин: пользователь уволился из компании, сменил имя или если его частный ключ был скомпрометирован. При этих обстоятельствах СА аннулирует сертификат, занося его серийный номер в СRL.
  • Восстановление ключа (Key Recovery). Дополнительная функция PKI позволяет восстанавливать данные или сообщения в случае утери ключа.
  • Управление работой (Lifecycle Management) - постоянная поддержка сертификатов в PKI, включающая обновление, восстановление и архивирование ключей. Эти функции выполняются периодически, а не в ответ на специальные запросы. Автоматизированное управление ключами наиболее важная функция для больших PKI. Ручное управление ключами может ограничить масштабируемость PKI.

Основные определения

  • Certificate Revocation Lists (CRLs) - список аннулированных сертификатов. Аннулирование может быть вызвано сменой места работы, кражей частного ключа или другими причинами. Приложения, работающие с PKI, могут сверять сертификаты пользователей со списком CRL, прежде чем предоставить доступ в соответствии с этим сертификатом.
  • Цифровой сертификат (Digital Certificate/X.509 Certificate). Структура данных, применяющаяся для связывания определенного модуля с определенным открытым ключом. Цифровые сертификаты используются для подтверждения подлинности пользователей, приложений и сервисов, и для контроля доступа (авторизации). Цифровые сертификаты издаются и распределяются СА.
  • Цифровой конверт (Digital Envelope). Метод использования шифрования с открытым ключом для безопасного распространения секретных ключей использующихся при симметричном шифровании и для посылки зашифрованных сообщений. Значительно сокращается проблема распространения ключей связанная с симметричным шифрованием.
  • Цифровая подпись (Digital Signature). Метод использования шифрования с открытым ключом для обеспечения целостности данных и невозможности отказа от посылки. Зашифрованный блок информации после расшифровки получателем, идентифицирует отправителя и подтверждает сохранность данных. Например: документ "сжат", HASH зашифрован с помощью частного ключа отправителя и приложен к документу (по сути, это означает приложить "отпечаток пальца" этого документа). Получатель использует открытый ключ для расшифровки полученного сообщения до состояния "выжимки", которая затем сравнивается с "выжимкой" полученной после "сжатия" присланного документа. Если обе "выжимки" не совпали, то это означает, что документ был изменен или поврежден в процессе пересылки.
  • Шифрование с открытым ключом (Public Key Cryptography). Есть два основных типа шифрования: с открытым ключом и с секретным (симметричным) ключом. При шифровании с открытым ключом используется пара ключей: открытый, т.е. свободно доступный, и соответствующий ему частный ключ, известный только конкретному пользователю, приложению или сервису, которые владеют этим ключом. Эта пара ключей связана таким образом, что зашифрованное частным ключом, может быть расшифровано только открытым ключом и наоборот.
  • Симметричное шифрование (Shared Secret Cryptography). Есть два основных типа шифрования: с открытым ключом и с секретным (симметричным) ключом. При симметричном шифровании получатель и отправитель используют один и тот же ключ для шифрования и расшифровки. Это означает, что множество пользователей должны иметь одинаковые ключи. Очевидно, что до получения ключа пользователем шифрование невозможно, при этом распространение ключа по сети не является безопасным. Другие же способы распространения, такие как специальный курьер, дорогие и медленные.
  • Алгоритм RSA - первая шифровальная система с открытым ключом, названная в честь ее изобретателей: Ronald Rivest, Adi Shamir и Leonard Adleman.
  • Смарт-карта. Устройство похожее на кредитную карточку со встроенной памятью и процессором, используемое для защищенного хранения ключей и сертификатов пользователя а также другой информации (как правило, социального и медицинского назначения).
  • Digital Credentials. В рамках технологии PKI, стандарт ISO/TS 17090-1 определяет этот термин как криптографически защищенный объект, который может содержать индивидуальные ключи пользователя, сертификаты индивидуальных ключей, сертификаты Центров Сертификации PKI-структуры пользователя, список доверенных ЦС, а также другие параметры, относящиеся к домену пользователя - идентификатор пользователя, наименования применяемых криптографических алгоритмов, значения стартовых величин и т.д.. Credentials могут размещаться на аппаратных или программных носителях.

Протоколы PKI

  • IPSec (IP Security). Набор протоколов разрабатываемых Internet Engineering Task Force (IETF) для встраивания улучшенных средств безопасности в IP уровень. Используется для осуществления безопасной связи. IPSec один из наиболее популярных протоколов, использующихся для построения частных виртуальных сетей (VPN). IPSec требует использования ключей для шифрования и идентификации, и PKI масштабируемый способ управления IPSec ключами.
  • LDAP (Lightweight Directory Access Protocol). Упрощенная реализация стандартов X.500, которая совместима с TCP/IP сетями. LDAP - протокол, чаще всего использующийся для доступа к сертификатам и списку аннулированных сертификатов.
  • PKIX (PKI for X.509 certificates). Рабочая группа IETF совершенствует стандарты открытых ключей для использования в Интернете. PKIX - это передовое средство совместимости PKI стандартов.
  • S/MIME (Secure Multipurpose Internet Mail Extensions). Разработка EITF для безопасного обмена сообщениями всех типов. S/MIME определяет тип шифрования и/или цифровой подписи электронного сообщения, используя шифрование с открытым ключом.
  • SSL (Secure Sockets Layer). SSL и развивающийся IETF стандарт, TLS (Transport Layer Security), который основан на SSL, самые важные протоколы для обеспечения безопасного доступа к web-серверам. SSL и TLS так же используются для обеспечения общей безопасности при обращении пользователя к серверу во множестве не-web-приложений. Оба используют PKI при получении сертификатов для пользователей и серверов. VPN (Virtual Private Network). Туннель зашифрованной информации проложенный поверх общей сети, для обеспечения конфиденциальности, такой же как и в частной сети, как при соединении серверов (или роутеров) друг с другом так и при обращении пользователя к серверу (client-to-server). Перспективный стандарт для создания туннелей при общении серверов друг с другом - протокол IPSec.