| 1. Что такое Инфраструктура Открытых Ключей (PKI)?
Инфраструктура Открытых Ключей (Public Keys Infrastructure - PKI) - совокупность протоколов, услуг, стандартов, программных компонентов, использующих методы шифрования открытого ключа, а также необходимых организационных мер. В современной литературе термин PKI иногда определяется как доверительная иерархия на основе сертификатов открытого ключа, а в других контекстах термин охватывает шифрование и услуги цифровой подписи, предлагаемые также и для приложений конечного пользователя. PKI - инфраструктура управления открытыми ключами с помощью цифровых сертификатов, которые издаются Центром Сертификации для пользователей системы для защиты их коммуникаций.
PKI должен обеспечивать следующие возможности:
· Регистрация Сертификата: издание нового сертификата для открытого ключа.
· Аннулирование Сертификата: отмена ранее выпущенного сертификата.
· Доверительная оценка: выяснение действительности сертификата и предоставляемых им привилегий.
· Выбор ключа: получение открытого ключа стороны.
· Восстановление: восстановление данных, зашифрованных ключом, который был потерян или разрушен. |
2. Какую защиту обеспечивает PKI при должной организации и эксплуатации инфрастуктуры? · Установление подлинности (аутентификация): гарантия участникам передачи данных, что другая сторона является именно той, кем себя представляет. Связывает пользователя с их цифровым идентификатором.
· Неотвергаемость: гарантия того, что ни одна сторона не сможет отрицать свое участие в сделке.
· Авторизация: данные/сообщения доступны для чтения только их адресату, имеющему соответствующий ключ; информация не может быть прочитана неавторизованным на это третьим лицом.
· Целостность: гарантия того, что данные не были изменены в ходе передачи. | |
3. Что входит в RSA Keon Advanced PKI?
RSA Keon Advanced PKI включает в себя следующие элементы:
· RSA Keon Security Server
· RSA Keon Certificate Server
· RSA LDAP Directory
· RSA Keon Desktop В RSA Keon Advanced PKI учтены минусы, затрудняющие работу с другими реализациями PKI: сложность работы, слабая защищенность и трудности интеграции. RSA Keon Advanced PKI полностью реализует PKI и позволяет расширить любую другую реализацию PKI, поддерживая сертификаты от любого стороннего Центра Сертификации. | |
4. Кто выпускает сертификаты и как?
Сертификаты выпускаются Центром Сертификации, который может быть собственной структурой Организации или независимой доверенной стороной, предлагающей свои услуги. Центр Сертификации устанавливает связь между владельцем сертификата и его ключом. Чтобы предотвратить подделку сертификатов, открытый ключ Центра Сертификации должен заслуживать доверие и для этого Центр Сертификации обязан широко опубликовать свой ключ и засвидетельствовать его законность.
Выпуск сертификата происходит следующим образом: Анна генерирует собственную пару ключей и посылает открытый ключ Центру Сертификации, сопроводив его некоторым доказательством, идентифицирующим ее саму. Центр Сертификации проверяет доказательство и/или предпринимает необходимые шаги, чтобы удостовериться, что запрос действительно исходит от Анны и что ее открытый ключ не был изменен при передаче. Затем Центр Сертификации посылает ей сертификат, подтверждающий связь между Анной и ее открытым ключом, а также сертификат (или цепочку сертификатов), подтверждающий открытый ключ Центра Сертификации. Анна предъявляет эту цепочку сертификатов всякий раз, когда надо продемонстрировать законность ее открытого ключа. Многие Организации полагают удобным иметь собственный Центр Сертификации, чтобы надежно идентифицировать своих служащих. Различные Центры Сертификации предъявляют различные требования при идентификации. Например, Центр Сертификации может требовать для идентификации водительские права, нотариально заверенный запрос, отпечатки пальцев и так далее. Каждый Центр Сертификации обязан публиковать собственные требования и стандарты идентификации, чтобы Проверяющие стороны имели возможность оценить уровень секретности и доверия к сертификатам этого Центра. Центр Сертификации с низкими требованиями выпускает сертификаты с низкой "надежностью". Таким образом, Центры Сертификации можно оценивать по предлагаемому ими уровню надежности. | |
5. Что такое безличный Центр Сертификации? Безличный Центр Сертификации - центр сертификации, который создает сертификаты, связывающие с открытыми ключами только адреса электронной почты. Это предназначено для пользователей, желающих остаться анонимными, но тем не менее участвовать в защищенных электронных услугах. | |
6. Как Центры Сертификации хранят свои частные ключи?
Надежное хранение частных ключей центров сертификации чрезвычайно важно. Раскрытие этой информации позволит создавать настоящие сертификаты для фальшивых открытых ключей. Один из способов надежной защиты - хранение ключа во взломо-защищенном устройстве. Такое устройство уничтожает свое содержание при несанкционированном взломе, а также защищено от нападений, использующих электромагнитное излучение. Необходимо также ограничить доступ к этому устройству сотрудников Центра Сертификации. Существует много вариантов управления частным ключом центра сертификации. SafeKeyper BBN, например, активизируется набором физических ключей, на которых хранится цифровая информация. В этих ключах реализована схема разделения тайны и потому активизировать SafeKeyper BBN'S могут только несколько сотрудников вместе. Это в частности предотвращает возможность подкупа одного сотрудника Центра Сертификации. Обратите внимание, что при случайном повреждении устройства подписывающего сертификаты, защита не нарушается. Подписанные с его помощью сертификаты остаются в силе до тех пор, пока Проверяющий использует действующий открытый ключ. Кроме того, некоторые устройства допускают восстановление потерянного частного ключа и его перенос в новое устройство. | |
7. Насколько Центры Сертификации уязвимы для атак ?
Существует много атак на Центры Сертификации, однако, от любой из них можно защититься. Нападающий может попытаться получить частный ключ, похитив устройство, в котором он хранится поэтому Центр Сертификации должен принять чрезвычайные меры чтобы предотвратить незаконный доступ к устройству и частному ключу.
Пара ключа Центра Сертификации может стать объектом массированной криптоаналитической атаки поэтому Центры Сертификации должны использовать достаточно длинные ключи, а также регулярно их менять. Центры Сертификации высшего уровня должны использовать особо длинные ключи и менять их достаточно часто, чтобы быть не дать нападающему даже теоретическую возможность подобрать действующий в настоящее время ключ. | |
8. Какие последствия взлома ключа, который больше не используется?
Даже если срок действия ключа давно истек, нападающий (Анна), перехватив такой ключ, может подделать сертификат заверяющий фальшивый ключ другого человека (Бориса), а затем подделать документ с подписью Бориса, датированый 15 годами назад. Основная проблема в этом случае -подтверждение подлинности документа, подписанного много лет назад - решается с помощью цифровых дат. Существуют и другие атаки, не использующие частный ключ Центра Сертификации. Например, Борис имитирует Анну. Если Борис может заверить сообщение подписью Анны, то он посылает банку Анны указание "перевести $10,000 с моего счета". Чтобы осуществить такую атаку Борис генерирует пару ключей и посылает открытый ключ Центру Сертификации, представляясь Анной и запрашивая сертификат. Если Центр Сертификации поддастся на этот обман и выдаст ему такой сертификат, то Борис сможет успешно обмануть банк. Чтобы предотвратить такое нападение, Центр Сертификации должен удостовериться, что запрос сертификата исходит от указанного в запросе лица, то есть потребовать убедительные доказательства того, что сертификат запрашивает именно Анна, например, потребовать личного присутствия Анны при выдаче сертификата. Некоторые Центры Сертификации проводят идентификацию весьма поверхностно, но банк вполне может не принять во внимание сообщение, заверенное сертификатом такого Центра Сертификации. Центр Сертификации должен удостоверять, что пользователь обладает частным ключом, соответствующим открытому ключу, который заверен сертификатом; в противном случае станут возможны некоторые нападения, где злоумышленник присоединяет сертификат к сообщению, подписанному кем-то другим. Каждый Центр Сертификации обязан опубликовать свою политику и требования к идентификации чтобы другие организации имели возможность оценить уровень надежности и доверия к сертификатам этого Центра. Другой вариант атаки: Борис подкупает служащего Центра Сертификации, который выпускает ему сертификат на имя Анны. После этого Борис может посылать сообщения с подписью Анны, а все получатели будут считать сообщение подлинным, потому что к сообщению будет присоединена полная и проверяемая цепочка сертификатов. Такой атаке можно воспрепятствовать, если генерировать сертификаты будет не один, а несколько сотрудников - гораздо сложнее подкупить нескольких служащих одновременно.
К сожалению, есть и другие способы подделки сертификата с помощью лишь одного служащего. Например, если запрос сертификата проверяется только одним служащим, то этот служащий может поместить ложный запрос в стек реальных запросов. Обратите внимание, что если частный ключ Центра Сертификации хранится должным образом, то даже подкупленный сотрудник не сможет его получить. | |
9. Что делать если ключ Центра Сертификации потерян или раскрыт злоумышленником ?
Если ключ Центра Сертификации потерян или разрушен, но не раскрыт злоумышленником, то подписанные этим ключом сертификаты все еще действительны и Проверяющие продолжают использовать для проверки сертификатов прежний открытый ключ. В некоторых устройствах хранения ключей сохраняются зашифрованные резервные копии частного ключа и при необходимости Центр Сертификации может его восстановить. Даже если разрушено само устройство, то в некоторых случаях можно восстановить ключ с помощью изготовителя устройств.
Гораздо опаснее раскрытие частного ключа Центра Сертификации злоумышленником. Имея частный ключ, злоумышленник может выпускать ложные сертификаты, которые будут неотличимы от настоящих. Необходимо принять все меры, чтобы предотвратить такую ситуацию.
Если же ключ все-таки раскрыт, то Центр Сертификации должен немедленно прекратить выпуск сертификатов под этим ключом и перейти на новый ключ. При подозрении, что были выпущены фальшивые сертификаты, все сертификаты должны быть отозваны и переизданы под новым ключом Центра Сертификации. Строгость такой меры можно несколько снизить, если сертификаты заверяются цифровой датой. Обратите внимание, что раскрытие ключа Центра Сертификации лишает законной силы не ключи пользователей, а только сертификаты, которые подтверждают их подлинность. Раскрытие частного ключа Центра Сертификации высокого уровня является катастрофой особенно если к этому ключу аппелируют широко распространенные приложения проверки сертификатов. | |
10. Каким образом RSA Keon Advanced PKI упрощает использование цифровых сертификатов и частных ключей?
RSA Keon Advanced PKI имеет несколько особенностей, которые упрощают работу конечному пользователю, администратору и службе технической поддержки. Во-первых это возможность создать отдельный набор цифровых удостоверений (частные ключи, цифровые сертификаты) общим для нескольких приложений, созданных различными производителями.
Зачастую клиенты PKI сталкивались с необходимостью или условием использовать броузеры и программы электронной почты разных производителей. Разные программы хранят сертификаты и ключи по-разному и потому их невозможно легко передать в приложение другого производителя. RSA Keon решает эту проблему, являясь единым "прозрачным" накопителем цифровых удостоверений для всех приложений.
Во-вторых хранящиеся в RSA Keon цифровые удостоверения доступны в любой точке сети, так как система может автоматически загружать их на любое автоматизированное рабочее место как только пользователь должным образом удостоверил свою личность в системе. Так как цифровые удостоверения всех пользователей хранятся в едином накопителе, то пользователю достаточно один раз пройти аутентификацию, чтобы любое из приложений, с которыми он работает, могло обращаться к его ключам, сертификатам и проч. | | ![]() | ![]()
| PKI FAQ 1-10 вопросы | | ![]()
| PKI FAQ 11-20 вопросы | | ![]()
| PKI FAQ 21-30 вопросы | | ![]()
| PKI FAQ 31-40 вопросы | | ![]()
| PKI FAQ 41-46 вопросы | | | |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
