Сурков Л.В. - Развёртывание служб сертификации корпоративной сети
Описание файла
PDF-файл из архива "Сурков Л.В. - Развёртывание служб сертификации корпоративной сети", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. .
Просмотр PDF-файла онлайн
Текст из PDF
Министерство образования и науки Российской ФедерацииФедеральное агентство по образованиюМосковский Государственный Технический Университет им. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические рекомендации к лабораторной работепо курсу«Корпоративные сети»Развертывание cлужб сертификации корпоративной сети2009Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09Основные принципы и понятияВ настоящее время через общедоступные сети передается значительное количествоконфиденциальной информации, и объем такой информации непрерывно растет. Поэтомуразвитие средств обеспечения конфиденциальности и целостности передаваемойинформации приобретает все большее значение.
Windows предоставляет целый рядподобных средств, одним из которых является система цифровых сертификатов.Применение цифровых сертификатов позволяет решать такие задачи как: аутентификация участников соединения. Для обеспечения аутентификации приустановлении соединения клиент и сервер обмениваются своими сертификатамии проверяют их подлинность. Аутентификация участников соединенияпозволяет гарантировать, что к серверу подключился авторизованный клиент, аклиент устанавливает подлинность сервера, с которым установлено соединение. обеспечениеконфиденциальностипередаваемойинформации.Конфиденциальность информации может быть обеспечена при помощишифрования передаваемых сообщений. обеспечение целостности передаваемой информации.
В некоторых случаяхбывает важна не столько конфиденциальность сообщения, сколько егонеизменность. В этом случае информация передается в незашифрованном виде,но к сообщению в зашифрованном виде добавляется некий параметр,позволяющий удостовериться в неизменности сообщения. В качестве такогопараметра, например, может использоваться контрольная сумма исходногосообщения или некоторая функциональная выборка () передаваемогосообщения. Тогда отправитель строит контрольную сумму/hash исходногосообщения, зашифровывает полученное значение и отправляет его вместе ссообщением. При приеме сообщения получатель строит контрольнуюсумму/hash полученного сообщения и сравнивает ее с расшифрованнымзначением. Если значения совпадают, то сообщение получено в неизмененномвиде.
Для обеспечения целостности данных требуется значительно меньшевычислительных ресурсов, чем для шифрования всего сообщения целиком,поэтому в некоторых случаях оптимальным является обеспечение целостности,а не конфиденциальности данных.Система цифровых сертификатов Windows Server 2008/2003 основана на стандартеинфраструктуры открытых ключей IETF X.509 v3, что позволяет обеспечитьвзаимодействие со множеством приложений сторонних производителей. Рассмотримосновные принципы, положенные в основу системы цифровых сертификатов.Шифрованиеявляетсянаиболееэффективнымспособомобеспеченияконфиденциальности сообщений.
Для шифрования сообщений алгоритм шифрованияиспользует специальный параметр - ключ шифрования. Именно он обеспечиваетуникальность работы алгоритма в каждом конкретном случае и позволяет говорить оконфиденциальности зашифрованного сообщения даже при общеизвестном алгоритмешифрования. Все алгоритмы шифрования можно разделитьна две большие группы: шифрование с использованием симметричного ключа; шифрование с использованием открытого ключа.В системах шифрования с симметричным ключом как прямое, так и обратноепреобразования сообщения производятся с использованием одного и того же секретногоключа (Secret Key). Знание секретного ключа позволяет как просмотреть, так и создатьМГТУ им. БауманаКафедра ИУ62Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev.
09или изменить содержимое сообщения, поэтому этот ключ должен храниться встрожайшей тайне. Популярность алгоритмов шифрования с симметричным ключомобъясняется их низкой вычислительной сложностью и быстротой. Широкораспространенными системами шифрования с симметричным ключом являютсяшифрование по стандарту DES, 3DES, AES, IDEA, Blowfish/Twofish, RC4. Однако,несмотря на все преимущества, шифрование с симметричным ключом имеет весьмасущественный недостаток.
Для того, чтобы получатель сообщения мог его прочесть, емунеобходимо знать секретный ключ. В случае, если во время обмена сторон ключамизлоумышленник смог перехватить ключ, то вся зашифрованная с его применениеминформация будет скомпрометирована.В системах шифрования с открытым ключом используется принципасимметричного шифрования. В этих системах используются два ключа - секретный(Private Key) и открытый (Public Key) ключи. Сообщение, зашифрованное сиспользованием секретного ключа, может быть расшифровано только при помощиоткрытого и наоборот.
Поэтому такую систему шифрования также называютшифрованием с асимметричным ключом. Секретный и открытый ключи создаютсяодновременно, причем таким образом, что, зная открытый ключ, вычислить при помощинего секретный ключ очень сложно или невозможно. В дальнейшем все заинтересованныелица обмениваются открытыми ключами и используют их для шифрования передаваемойинформации. В отличие от шифрования с секретным ключом при шифровании соткрытым ключом перехват открытого ключа не приведет к раскрытию шифра.Алгоритмы генерации пары секретный/открытый ключ и шифрования данных с ихпомощью должны обеспечивать высокую стойкость шифра таким образом, что, имеяоткрытый ключ и зашифрованное сообщение, злоумышленник не сможет вычислитьсекретный ключ и расшифровать сообщение.
Известны несколько алгоритмов, из которыхнаиболее распространены: алгоритм RSA (Rivest-Shamir-Adleman. Для вычисления секретного ключа,используемого в этом алгоритме, необходимо разложить на простые множителибольшое (порядка трехсот десятичных знаков) число. Такая процедура требуетбольших вычислительных ресурсов. алгоритм Эль-Гамаля (Ale-Hamale).
Для вычисления секретного ключатребуется провести процедуру дискретного логарифмирования, что являетсяболее сложной задачей, чем разложение числа на простые множители. Поэтомуалгоритм Эль-Гамаля считается более стойким, чем алгоритм RSA, однако вслучае вскрытия секретного ключа под угрозой оказываются все участники,тогда как при использовании RSA только один участник, чей ключ был взломан. алгоритм Диффи-Хэллмана (Diffie-Hellman) используется в протоколеоткрытого распределения ключей Oakley. Этот алгоритм нельзя в полной мереназвать алгоритмом шифрования с открытым ключом. Однако в его основележат принципы, характерные именно для систем шифрования с открытымключом.
Алгоритм Диффи-Хеллмана позволяет участникам соединениясовместными усилиями выработать секретный ключ (Secret Key), который будетиспользоваться для симметричного шифрования передаваемых сообщений.Основным недостатком систем с открытым ключом является высокаявычислительная сложность применяемых алгоритмов, что делает их трудно применимымипри интенсивном обмене сообщениями. Для решения этой проблемы поступаютследующим образом: для шифрования передаваемых данных используются алгоритмы ссимметричным ключом, а для обмена необходимыми для его функционирования ключамииспользуется алгоритм шифрования с открытым ключом. При этом обеспечиваетсябезопасный обмен секретными ключами, что позволяет с высокой степенью безопасностиМГТУ им. БауманаКафедра ИУ63Сурков Л.В.Корпоративные сетиПрактикум «Развертывание cлужб сертификации корпоративной сети» Rev. 09использовать менее ресурсоемкий алгоритм шифрования с симметричным ключом дляобеспечения конфиденциальности передаваемого потока данных.Цифровые подписи (digital signature) используются для аутентификацииотправителя сообщения и обеспечения целостности данных, например пересылаемогопрограммного кода.При асимметричном шифровании открытый ключ использовался для шифрованиясообщения, а расшифровать его мог только тот, кто обладает секретным ключом.
Припостроении цифровой подписи все происходит наоборот. В текст сообщения включаетсязаголовок, зашифрованный при помощи секретного ключа отправителя. При этом каждыйможет получить открытый ключ отправителя и прочесть зашифрованный заголовок.Такой заголовок и называется цифровой подписью отправителя. Никто не может создатьсообщение с соответствующим образом зашифрованным заголовком, не зная нужногосекретного ключа.Рассмотренные выше алгоритмы нашли свое отражение в различных стандартах.Так, Национальный институт стандартов и технологий США (ANSI) принял в качествестандарта шифрования алгоритм Эль-Гамаля, а Международная организациястандартизации (ISO) приняла в качестве такого стандарта алгоритм RSA. Microsoftреализовала в Windows Server Server 2008/2003 поддержку алгоритма RSA и алгоритмаДиффи—Хеллмана, включив в состав операционной системы соответствующие службы(Cryptographic Service Providers, CSP).Службы цифровых сертификатовОснову службы цифровых сертификатов составляют следующие компоненты: цифровые сертификаты; центры сертификации.Рассмотрим каждую из этих компонент подробнее.Цифровой сертификат - специальная структура данных, предназначенная дляидентификации владельца открытого ключа.