Crypto, egy digitális tanúsítványt

előzőa következő

Az igény, hogy az információk védelme

A folyamatos gyors fejlődése a számítógépes technológia és a széleskörű bevezetése az üzleti az interneten keresztül gyökeresen megváltoztatja a bevett üzleti. vállalati biztonsági rendszerek, amelyek az üzleti is, nem maradhat a pálya szélén.

Miért van szükség a kriptográfia

kriptográfiai védelmi rendszernek biztosítania kell:

Mi a nyilvános kulcsú titkosítás

A kriptográfiai transzformáció (titkosítás) - egy-egy matematikai transzformáció, ami attól függ, hogy a kulcsot (titkos átalakító paraméter) társulásának a nyilvános információs blokk (képviselő digitális kódolás) blokk kódolt információ is rendelkezésre áll a digitális kódolás. A kifejezés titkosítás egyesíti a két folyamat: titkosítás és dekódolás információt.

Titkosítást két csoportba sorolhatjuk: szimmetrikus és nyilvános kulcs.

A kriptográfia szimmetrikus kulcsok feladó és a címzett ugyanazt a (közös) billentyűvel mind titkosítás és dekódolás.

Előnyei kriptográfia szimmetrikus kulcsok:

  • Teljesítmény - Az előadás algoritmusok szimmetrikus kulcsok nagyon magas.
  • Folytonosság - kriptográfia szimmetrikus kulcsok nagyon stabil, ami gyakorlatilag lehetetlenné teszi, hogy megfejtse a folyamatot. Ceteris paribus (általános algoritmus) rezisztencia meghatározott kulcs hosszát. Amikor a kulcs hossza 256 bit kell, hogy 10 77 fok keresések meghatározza a legfontosabb.

Hátrányai kriptográfia szimmetrikus kulcsok:

  • legfontosabb elosztó - Mivel a titkosítás és a visszafejtés ugyanazzal a kulccsal, a kriptográfia, szimmetrikus szükséges kulcsokat egy nagyon robusztus mechanizmusok eloszlásának kulcsokat.
  • Skálázhatóság - Mivel egyetlen kulcsot használjuk a feladó és a címzett minden, a kulcsok száma exponenciálisan növekszik szükséges. 10 felhasználóknak szükségük van 45 gomb, míg a 100 van 499.500.
  • Korlátozott használat - Mivel a rejtjelező csak arra használjuk, hogy titkosítja az adatokat, és korlátozza a hozzáférést meg, ha azt használják lehetetlen, hogy a hitelesítés és a nem megtagadás.

A kriptográfia, egy pár használt kulcsok nyilvános kulcsot, egy nyilvános kulcsot és egy titkos (magán) kulcs ismert, csak a tulajdonosának. Ellentétben a privát kulcs titokban kell tartani, a nyilvános kulcs lehet a hálózaton elosztva. A privát kulcs a nyilvános kulcsú létrehozásához használt digitális aláírás és a dekódolás az adatok.

A nyilvános kulcsú titkosítás biztosítja az összes követelményeket kriptográfiai rendszert. De a végrehajtás a algoritmusok nagy mennyiségű CPU időt. Ezért a tiszta formájában a nyilvános kulcsú titkosítás A világ általában nem használják. Titkosítja az adatokat szimmetrikus (session) gombot, ami viszont van titkosítva a nyilvános ülés kulcsok átviteli hálózaton keresztül.

A nyilvános kulcsú titkosítás szükséges egy nyilvános kulcsú infrastruktúra (PKI - Public Key Infrastructure) - szerves szolgáltatás a menedzsment elektronikus tanúsítványok és felhasználói kulcsok, alkalmazás szoftverek és rendszerek.

Ellenőrző nyilvános kulcs

A közvetlen felhasználása nyilvános kulcsok igényel további védelmet és azonosítására, hogy meghatározzák miatt a titkos kulcsot. E nélkül további védelmet támadó mutassa magát a feladó az aláírt adatokat, és a kedvezményezett a titkosított adatok helyett a nyilvános kulcs értékét vagy elpusztítja identitását. Ebben az esetben bárki megszemélyesíteni az angol királynő. Mindez azt eredményezi, hogy szükség van a nyilvános kulcs hitelesítés. Ezekre a célokra elektronikus tanúsítványt használ.

Az elektronikus tanúsítvány digitális dokumentum, amely megköti a nyilvános kulcsot egy adott felhasználó vagy alkalmazás. Az elektronikus igazolás biztosítékokat használ elektronikus digitális aláírás a megbízható központ - a Központ Certification Authority (CA). Ennek alapján arra a szerepre, a CA, ez a fő összetevője a teljes PKI. A CA nyilvános kulcs, minden felhasználó ellenőrizheti a hitelességét az elektronikus tanúsítványt olyan CA, és használja annak tartalmát.

Ellenőrzés a tanúsítvány lánc

Ahogy korábban leírtuk, minden felhasználói tanúsítvány bizalmi alapján határozzák meg a tanúsítványlánc. Sőt, a kezdeti része a lánc egy CA-tanúsítványt, amely tárolja a biztonságos felhasználó személyes könyvtárba.

Tanúsítványlánc hitelesítési eljárást ismertetett ajánlás X.509 és RFC 2459 és ellenőrzi a kapcsolat között a neve a tanúsítvány tulajdonos és a nyilvános kulcsot. Hitelesítési eljárás lánc azt jelenti, hogy az összes „jobb” láncok kezdődik által kiadott bizonyítványokkal megbízható hitelesítésszolgáltató. Az bizalom központ a fő CA, melynek nyilvános kulcsot tartalmaz egy önmaga által aláírt tanúsítványt. Az ilyen korlátozás egyszerűsíti az ellenőrzési eljárás, de a jelenléte egy önmaga által aláírt tanúsítványt és a titkosítási ellenőrzések nem nyújt biztonságot. Annak érdekében, hogy a hitelességét a nyilvános kulcs tanúsítványt a különleges módszerek kidolgozása során elosztó és tároló kell alkalmazni, mint az összes többi tanúsítványokat ellenőrizni ezt a nyilvános kulcsot.

lánc ellenőrzését algoritmus a következő adatokat:

  • X.500 tanúsítvány kiadó neve;
  • X.500 tanúsítvány tulajdonos nevét;
  • A kiadó nyilvános kulcs;
  • érvényességét a nyitott (titkos) a kiadók és a legfontosabb;
  • korlátozása kiegészítések során alkalmazott hitelesítési láncok (basicConstraints, nameConstraints, policyConstrains);
  • SOS minden kiadó (akkor is, ha nem áll el bizonyítvány).

A tanúsítvány lánc sorozata n bizonyítványok, amelyben:

  • minden x, x a tulajdonosa a tanúsítvány kibocsátója a tanúsítvány x + 1;
  • tanúsítvány x = 1 rendelkezik egy önmagát aláírt tanúsítványt;
  • Certificate X = n végfelhasználói tanúsítvány;

Egyidejűleg a tanúsítvány lánc használt COC lánc sorozata n COC, ahol:

  • minden x a COC, a tanúsítvány kiadó x x Kiadó SOS;
  • SOS x = 1 van SOS által kibocsátott tulajdonos egy önmaga által aláírt tanúsítványt;
  • X = n COC COc kiadott Kiadó felhasználói tanúsítvány;

Miután felépítettük a két stringet (tanúsítványok és COC) teljesül:

  • Kriptográfiai hitelesítését bizonyítványok és SOS láncokat;
  • ellenőrizze a tanúsítvány érvényességének és COC;
  • ellenőrzése leképezése a kiadók és a nameConstraints kiegészítései;
  • lánchosszúságú ellenőrzés segítségével basicConstraints kiegészítéseket;
  • ellenőrizze a tanúsítvány visszavonási, és ha a köztes CA tanúsítványt visszavonták a magasabb központjában SOS, valamennyi kiállított közbenső központ semmisek;
  • elfogadható használat rendeletek ellenőrzési tanúsítványt és megfelelő felhasználási területeken kulcsfontosságú segítségével kiegészítések és certificatesPolicies extendedKeyUsage.

PKI részeit és azok funkcióit

A készítmény PKI komponensek közé tartoznak a következő komponenseket:

  • Certification Center;
  • Regisztrációs Központ;
  • A végfelhasználók;
  • Hálózati könyvtárba.

tanúsító központ

Certification Center (vagy Certification Authority) - a fő vezérlő IEC komponens kialakítására elektronikus bizonyítványok alárendelt CA-k és a végfelhasználók számára. Amellett, hogy a tanúsítványt, a CA generál egy listát a visszavont tanúsítványok X.509 CRL (COC) rendszerességgel, egy konkrét rendelet a rendszer.

A fő funkciója a CA tartalmazza:

  • Alkotó a saját privát kulcs és a CA tanúsítvány;
  • Formation középre alárendelt tanúsítványok;
  • Képződése nyilvános kulcsú végfelhasználói igazolásokat;
  • Listájának létrehozása visszavont tanúsítványok;
  • Fenntartása adatbázis minden gyártott tanúsítványok és tanúsítvány visszavonási listák;

regisztrációs központ

Egy opcionális eleme a PKI, Ajánlott végfelhasználói regisztráció. A fő cél a CR - a regisztrációs felhasználók való kapcsolattartás biztosítása, a CA A CR feladatok is tartalmazhat tanúsítványokat és közzétett SOS a hálózati könyvtár LDAP.

felhasználók

Felhasználó, alkalmazás vagy rendszer, a tulajdonos a tanúsítvány és a PKI.

hálózati könyvtár

Egy opcionális eleme az IEC, amely a tanúsítványok és tanúsítvány visszavonási listákat, és szolgálja a célból, terjesztése ezeket a tárgyakat a felhasználók körében az LDAP protokoll (HTTP, FTP).

A PKI alkalmazások

webes alkalmazások

Web böngésző és szerver segítségével a hitelesítés és a titoktartás az ülés, valamint az online banki alkalmazások és az elektronikus áruházak. A leggyakoribb protokoll ezen a területen az SSL (Secure Sockets Layer). SSL nem korlátozódik az oltalom iránti kérelem a HTTP (Hypertext Transfer Protocol) csak, és az is lehet használni az FTP (File Transfer Protocol) és a Telnet.

EDS fájlok és alkalmazások

Az elektronikus aláírás aláírási alkalmazások és fájlok, akkor nyugodtan terjeszteni őket az interneten keresztül. A felhasználó bizalmat helyességét a kérelem beérkezett a vállalat-fejlesztő.

az IEC szabványoknak

IEC szabványok két csoportra oszthatók: egy részük írják le a tényleges PKI végrehajtását, és a második rész, amely kapcsolódik a felhasználói szinten használja a PKI meghatározása nélkül is. Az alábbi ábra mutatja az összefüggést alkalmazások szabványoknak. IEC szabványosítás lehetővé teszi a különböző alkalmazások kommunikálni egymással egy közös PKI.

Különösen fontos a szabványosítás területén:

  • regisztráció és kulcsgenerálás;
  • írja le a formátum a tanúsítvány;
  • SOS formátum leírása;
  • leírás formátumú titkosított védett adatokat;
  • leírások az online protokollokat.

A fő központja a termelés harmonizált szabványok az IEC munkacsoport egy PKI (PKI munkacsoport) szervezet IETF (Internet Engineering Task Force), a csoport, a PKIX (PKI X.509 tanúsítványok csökkenés).

PKIX szabványok

PKIX leírások alapján két részre osztható: X.509 ITU-T (International Telecommunications Bizottság) és PKCS (Public Key Cryptography Standards) firmy RSA Data Security. X.509 eredetileg tervezték hitelesítési előírás, ha részeként használják X.500 címtár szolgáltatást. Tény, hogy az e-tanúsítvány szintaxis javasolt X.509 elismerten a de facto szabvány, és már általánosan elterjedt függetlenül X.500. Azonban X.509 ITU-T nem volt célja, hogy meghatározza a teljes PKI. Céljára X.509 szabványok a mindennapi gyakorlatban a felhasználók, szállítók és szabványosítási testületek fordul a PKCS szabványoknak. PKIX következő csoport közzétett internetes szabványoknak (RFC):

Szabványos X.509 ITU-T szabvány alapvető alátámasztó minden egyéb felhasznált IEC. Fő célja - annak meghatározása, elektronikus formában a tanúsítvány és tanúsítvány visszavonási listákat.

Egy sor szabványok által kiadott RSA Data Security, a legfontosabb és használt IEC következők:

Szabványok alapján IEC

A legtöbb szabványok felhasználásával kriptográfia, amelynek célja a PKI.

S / MIME szabvány meghatározását IETF, hogy biztonságos üzenetküldés. S / MIME használja PKI előállító elektronikus aláírással és titkosítással információkat. A csoport S / MIME szabványok közül a legjelentősebb a következő: Cryptographic Message Syntax, Message Specification, Certificate Kezelés és Certificate Request szintaxis.

Az SSL protokoll (melyet a Netscape), és a megfelelő IETF TLS szabvány (RFC 2246) a leggyakrabban használt szabványokat, amelyek biztosítják a biztonságos hozzáférést az internethez. Ugyanakkor, SSL és TLS széles körben használják, hogy egy kliens - szerver alkalmazások, ne használja a világhálón. Mindkét protokoll segítségével lényegében PKI.

Secure Electronic Transactions (SET)

SET protokoll által kifejlesztett Visa és a MasterCard és a célja, hogy egy olyan rendszer, az elektronikus banki befizetéseket műanyag kártyák. Ebben az eljárásban PKI az alapot, amelynek alapja az egész rendszer a hitelesítés rendezése résztvevők.

IPSec protokoll (Internet Protocol Security Protocol) által kifejlesztett IETF a protokoll IP titkosítás és az egyik fő használt protokollok épület egy VPN. IEC az IPSec protokoll használható hitelesítési és titkosítási. Jelenleg a protokoll még nem széles körben elterjedt, de az egyetemes fejlődés PKI növekedéséhez vezet számának IPSec.

következtetés

A nyilvános kulcsú titkosítás és a digitális tanúsítványok lehetővé teszi, hogy végre megfelelően a védett rendszerek és alkalmazások a modern technológiák és adatátviteli hálózatokhoz. Szabványügyi ezen a területen lehetővé teszi a különböző alkalmazások kommunikálni egymással, egyetlen PKI.

előzőa következő