Сурков Л.В. - Развёртывание служб сертификации корпоративной сети (1075634)
Текст из файла
Министерство образования и науки Российской ФедерацииФедеральное агентство по образованиюМосковский Государственный Технический Университет им. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические рекомендации к лабораторной работепо курсу«Корпоративные сети»Развертывание cлужб сертификации корпоративной сети2009Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Основные принципы и понятияВ настоящее время через общедоступные сети передается значительное количествоконфиденциальной информации, и объем такой информации непрерывно растет. Поэтомуразвитие средств обеспечения конфиденциальности и целостности передаваемойинформации приобретает все большее значение.
Windows предоставляет целый рядподобных средств, одним из которых является система цифровых сертификатов.Применение цифровых сертификатов позволяет решать такие задачи как: аутентификация участников соединения. Для обеспечения аутентификации приустановлении соединения клиент и сервер обмениваются своими сертификатамии проверяют их подлинность. Аутентификация участников соединенияпозволяет гарантировать, что к серверу подключился авторизованный клиент, аклиент устанавливает подлинность сервера, с которым установлено соединение. обеспечениеконфиденциальностипередаваемойинформации.Конфиденциальность информации может быть обеспечена при помощишифрования передаваемых сообщений. обеспечение целостности передаваемой информации.
В некоторых случаяхбывает важна не столько конфиденциальность сообщения, сколько егонеизменность. В этом случае информация передается в незашифрованном виде,но к сообщению в зашифрованном виде добавляется некий параметр,позволяющий удостовериться в неизменности сообщения. В качестве такогопараметра, например, может использоваться контрольная сумма исходногосообщения или некоторая функциональная выборка () передаваемогосообщения. Тогда отправитель строит контрольную сумму/hash исходногосообщения, зашифровывает полученное значение и отправляет его вместе ссообщением. При приеме сообщения получатель строит контрольнуюсумму/hash полученного сообщения и сравнивает ее с расшифрованнымзначением. Если значения совпадают, то сообщение получено в неизмененномвиде.
Для обеспечения целостности данных требуется значительно меньшевычислительных ресурсов, чем для шифрования всего сообщения целиком,поэтому в некоторых случаях оптимальным является обеспечение целостности,а не конфиденциальности данных.Система цифровых сертификатов Windows Server 2008/2003 основана на стандартеинфраструктуры открытых ключей IETF X.509 v3, что позволяет обеспечитьвзаимодействие со множеством приложений сторонних производителей. Рассмотримосновные принципы, положенные в основу системы цифровых сертификатов.Шифрованиеявляетсянаиболееэффективнымспособомобеспеченияконфиденциальности сообщений.
Для шифрования сообщений алгоритм шифрованияиспользует специальный параметр - ключ шифрования. Именно он обеспечиваетуникальность работы алгоритма в каждом конкретном случае и позволяет говорить оконфиденциальности зашифрованного сообщения даже при общеизвестном алгоритмешифрования. Все алгоритмы шифрования можно разделитьна две большие группы: шифрование с использованием симметричного ключа; шифрование с использованием открытого ключа.В системах шифрования с симметричным ключом как прямое, так и обратноепреобразования сообщения производятся с использованием одного и того же секретногоключа (Secret Key). Знание секретного ключа позволяет как просмотреть, так и создатьМГТУ им. БауманаКафедра ИУ62Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.
09или изменить содержимое сообщения, поэтому этот ключ должен храниться встрожайшей тайне. Популярность алгоритмов шифрования с симметричным ключомобъясняется их низкой вычислительной сложностью и быстротой. Широкораспространенными системами шифрования с симметричным ключом являютсяшифрование по стандарту DES, 3DES, AES, IDEA, Blowfish/Twofish, RC4. Однако,несмотря на все преимущества, шифрование с симметричным ключом имеет весьмасущественный недостаток.
Для того, чтобы получатель сообщения мог его прочесть, емунеобходимо знать секретный ключ. В случае, если во время обмена сторон ключамизлоумышленник смог перехватить ключ, то вся зашифрованная с его применениеминформация будет скомпрометирована.В системах шифрования с открытым ключом используется принципасимметричного шифрования. В этих системах используются два ключа - секретный(Private Key) и открытый (Public Key) ключи. Сообщение, зашифрованное сиспользованием секретного ключа, может быть расшифровано только при помощиоткрытого и наоборот.
Поэтому такую систему шифрования также называютшифрованием с асимметричным ключом. Секретный и открытый ключи создаютсяодновременно, причем таким образом, что, зная открытый ключ, вычислить при помощинего секретный ключ очень сложно или невозможно. В дальнейшем все заинтересованныелица обмениваются открытыми ключами и используют их для шифрования передаваемойинформации. В отличие от шифрования с секретным ключом при шифровании соткрытым ключом перехват открытого ключа не приведет к раскрытию шифра.Алгоритмы генерации пары секретный/открытый ключ и шифрования данных с ихпомощью должны обеспечивать высокую стойкость шифра таким образом, что, имеяоткрытый ключ и зашифрованное сообщение, злоумышленник не сможет вычислитьсекретный ключ и расшифровать сообщение.
Известны несколько алгоритмов, из которыхнаиболее распространены: алгоритм RSA (Rivest-Shamir-Adleman. Для вычисления секретного ключа,используемого в этом алгоритме, необходимо разложить на простые множителибольшое (порядка трехсот десятичных знаков) число. Такая процедура требуетбольших вычислительных ресурсов. алгоритм Эль-Гамаля (Ale-Hamale).
Для вычисления секретного ключатребуется провести процедуру дискретного логарифмирования, что являетсяболее сложной задачей, чем разложение числа на простые множители. Поэтомуалгоритм Эль-Гамаля считается более стойким, чем алгоритм RSA, однако вслучае вскрытия секретного ключа под угрозой оказываются все участники,тогда как при использовании RSA только один участник, чей ключ был взломан. алгоритм Диффи-Хэллмана (Diffie-Hellman) используется в протоколеоткрытого распределения ключей Oakley. Этот алгоритм нельзя в полной мереназвать алгоритмом шифрования с открытым ключом. Однако в его основележат принципы, характерные именно для систем шифрования с открытымключом.
Алгоритм Диффи-Хеллмана позволяет участникам соединениясовместными усилиями выработать секретный ключ (Secret Key), который будетиспользоваться для симметричного шифрования передаваемых сообщений.Основным недостатком систем с открытым ключом является высокаявычислительная сложность применяемых алгоритмов, что делает их трудно применимымипри интенсивном обмене сообщениями. Для решения этой проблемы поступаютследующим образом: для шифрования передаваемых данных используются алгоритмы ссимметричным ключом, а для обмена необходимыми для его функционирования ключамииспользуется алгоритм шифрования с открытым ключом. При этом обеспечиваетсябезопасный обмен секретными ключами, что позволяет с высокой степенью безопасностиМГТУ им. БауманаКафедра ИУ63Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09использовать менее ресурсоемкий алгоритм шифрования с симметричным ключом дляобеспечения конфиденциальности передаваемого потока данных.Цифровые подписи (digital signature) используются для аутентификацииотправителя сообщения и обеспечения целостности данных, например пересылаемогопрограммного кода.При асимметричном шифровании открытый ключ использовался для шифрованиясообщения, а расшифровать его мог только тот, кто обладает секретным ключом.
Припостроении цифровой подписи все происходит наоборот. В текст сообщения включаетсязаголовок, зашифрованный при помощи секретного ключа отправителя. При этом каждыйможет получить открытый ключ отправителя и прочесть зашифрованный заголовок.Такой заголовок и называется цифровой подписью отправителя. Никто не может создатьсообщение с соответствующим образом зашифрованным заголовком, не зная нужногосекретного ключа.Рассмотренные выше алгоритмы нашли свое отражение в различных стандартах.Так, Национальный институт стандартов и технологий США (ANSI) принял в качествестандарта шифрования алгоритм Эль-Гамаля, а Международная организациястандартизации (ISO) приняла в качестве такого стандарта алгоритм RSA. Microsoftреализовала в Windows Server Server 2008/2003 поддержку алгоритма RSA и алгоритмаДиффи—Хеллмана, включив в состав операционной системы соответствующие службы(Cryptographic Service Providers, CSP).Службы цифровых сертификатовОснову службы цифровых сертификатов составляют следующие компоненты: цифровые сертификаты; центры сертификации.Рассмотрим каждую из этих компонент подробнее.Цифровой сертификат - специальная структура данных, предназначенная дляидентификации владельца открытого ключа.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
