Инфраструктура открытых ключей (PKI - Public Key Infrastructure) — это система управления криптографической защитой, совокупность цифровых сертификато открытых ключей и служб управления сертификатами. В задачи PKI входит определение политики цифровых сертификатов, выдача их и аннулирование, а так же хранение информации для последующей проверки правильности и актуальности сертификатов. Приложениями, поддерживающие PKI как правило является защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП). PKI использует в работе сертификатами. Это электронный документ, содержащий электронный ключ пользователя (открытый или же ключевую пару (keypair)), информацию о владельце сертификата, удостоверяющую подпись корневого центра выдачи сертификатов и информацию о сроке действия сертификата. Реализация PKI в ОС выполняется следующими элементами:
Рассмотрим используемые методы шифрования. Симметричное шифрование - это шифрование потоков данных с помощью сеансового ключа, известного обоим участникам. Шифрование с открытым ключом (или асимметричное шифрование, асимметричный шифр) - это обмен сеансовым ключом при установлении защищенного канала и использование цифровой подписи. Первоначально пользователь зашифровывает данные с помощью открытого ключа, далее сообщение передается адресату через сеть, и расшифровывается при получении с помощью личного ключа. Аутентификация зашифрованного сообщения происходит при помощи подписи отправителем сообщения личным ключем. Шифрование данных при помощи электронной цифровой подписи (ЭЦП) происходит следующим образом:
В итоге данной последовательности пользователь получает открытые данные. Открытый и закрытый ключь пользователя находятся в сертификате. Сертификат - это цифровое удостоверение (стандарт X.509 версия 3). Открытый ключ и возможные режимы его использования однозначно идентифицируют субъекта. Сертификат имеет такие атрибуты как срок действия сертификата, информацию о службе выдавшей сертификат и информацию о корневом удостоверяющем центре данного сертификата. Данная информация необходима для проверки сертификата. Microsoft Certificate Services представляет собой полнофункциональное PKI-решение, включающее встроенные службы и средства администрирования приложений, применяющих шифрование с открытым ключом, а также для управления ими. Microsoft Certificate Services поддерживает форматы сертификатов X.509 версий 3 и выше. Microsoft Certificate Services имеет следующие элементы:
Центр сертификации Microsoft CA может быть использован для работы в Active Directory. В этом случае используется Enterprise CA, который является интегрированым в Active Directory, обеспечивает выдачу сертификатов только объектам имеющим учетные записи в каталоге, и использует шаблоны сертификатов. Microsoft CA так же может быть использован независимо от Active Directory, в качестве независимого центра сертификации для любых объектов. Для этого используется Stand-Alone CA. На верхушке иерархии центров сертификации стоит корневой центр сертификации. В случае работы со сторонним центром сертификации, клиенту приходится просто довериться на честность выполнения их работы. Далее идут удостоверяющие центры получившие доверие корневого центра сертификации. В этом случае эти центры сертификации так же смогут выдавать сертификаты клиентам. При использовании сертификата, проверяются его атрибуты:
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |