ПредишенСледващото

Необходимостта от защита на информацията

Продължаващото бързото развитие на компютърните технологии и широкото въвеждане в бизнеса при използване на Интернет коренно променя установените начини за правене на бизнес. системи за корпоративна сигурност, предоставящи бизнес, също не могат да останат в кулоарите.

Защо ви е нужен криптографията

система криптографска защита трябва да осигури:

Какво е публичен ключ на криптографията

криптографска трансформация (шифроване) на - едно към едно математически трансформация, която зависи от ключ (параметър тайна трансформация), който свързва обществена информация блок (представена в цифров кодиране) блок на криптирана информация се предоставя и в цифровата кодировка. Терминът криптиране съчетава два процеса: криптиране и декриптиране на информация.

Криптографията е разделен на два класа: симетричен ключ и публичен ключ.

В криптографията с симетрични ключове подателя и получателя използват една и съща (често) ключ за криптиране и декриптиране.

Предимства на криптографията с симетрични ключове:

  • Ефективност - Изпълнението на алгоритми с симетрични ключове е много висока.
  • Устойчивост - криптографията с симетрични ключове е много стабилна, което го прави почти невъзможно за дешифриране на процеса. При равни други условия (общ алгоритъм) устойчивост дефинирана дължина на ключа. Когато дължината на ключа 256 бита трябва да произвежда 10 на 77 степен на търсения, за да се определи ключа.

Недостатъци криптографията с симетрични ключове:

  • ключ разпределение - Тъй като криптиране и декриптиране, използвайки един и същи ключ, с помощта на криптографията с симетрични ключове изисква много стабилни механизми за разпределение на ключове.
  • Скалируемост - От един ключ се използва между подателя и всеки получател, броят на бутоните изисква се увеличава експоненциално. 10 потребители се нуждаят от 45 клавиши, а 100 са 499 500.
  • За ограничено ползване - Тъй като симетричен ключ, криптография се използва само за криптиране на данните и ограничава достъпа до нея, когато тя се използва не е възможно да се осигури идентификация и недопускане на отхвърляне.

В криптографията, двойка ключове, използвани с публични ключове: публичен ключ и тайна (частни) ключ, известен само на неговия собственик. За разлика от частен ключ, който трябва да се пази в тайна, публичен ключ може да се разпространява по цялата мрежа. Частният ключ в публичен ключ криптография се използва за генериране на цифров подпис и декриптиране на данни.

Публично-ключ, криптография осигурява на всички изисквания за криптографската система. Но изпълнението на алгоритмите изискват големи количества процесорно време. Ето защо, в чист вид публичен ключ криптография в света не е обикновено се използва. За кодиране на данните с помощта на симетричен (сесия) ключ, който от своя страна се криптира с помощта на клавишите със открито заседание за предаване по мрежата.

Публично-ключ, криптография изисква Public Key Infrastructure (PKI - Public Key Infrastructure) - неразделна услуга за управление на електронни сертификати и потребителски ключове, приложен софтуер и системи.

Проверка публичен ключ

Директното използване на публичните ключове изисква допълнителна защита и идентификация да се определи поради тайния ключ. Без такава допълнителна нападател защита може да се представи като подател на подписаните данни, а получателят на шифрованите данни, на мястото на публичен ключ стойност или унищожаване на самоличността му. В този случай, всеки може да се представяте за кралицата на Англия. Всичко това води до необходимостта от публичен ключ за проверка. За тази цел се използва електронен сертификат.

Електронният сертификат цифров документ, който се свързва с публичен ключ с конкретен потребител или приложение. За електронни уверенията на сертификата използва електронен цифров подпис на доверен центъра - Център за сертифициращ орган (CA). Въз основа на функциите, изпълнявани от ТЗ, е основният компонент на цялата PKI. Използването на публичния ключ на КО, всеки потребител може да провери автентичността на електронния сертификат, издаден от CA, и да използвате съдържанието му.

Проверка на веригата на сертификат

Както е описано по-горе, всеки сертификат за потребителското доверие се определя въз основа на веригата на сертификат. Освен това, за началната част на веригата е сертификат от сертифициращ орган, която се съхранява в личното директория сигурния потребителя.

процедура за проверка на верига сертификати, описана в Препоръка X.509 и RFC 2459 и проверява връзката между името на притежателя на сертификат и неговия публичен ключ. Процедура за проверка на веригата означава, че всички "правилните" вериги започват с удостоверения, издадени от доверен сертифициращ орган. Под доверие център е основният CA чийто публичен ключ се съдържа в самоподписаният сертификат. Такова ограничение опростява процедурата за проверка, въпреки наличието на самоподписаният сертификат и криптографски проверки не предоставят сигурност. За да се гарантира надеждността на публичен ключ сертификата на специалните методи за нейното разпространение и съхранение трябва да се прилага, тъй като всички други сертификати, се проверяват за този публичен ключ.

алгоритъм за проверка на веригата използва следните данни:

  • X.500 сертификат име на издателя;
  • Име на X.500 ръководство на сертификат;
  • публичен ключ на издателя;
  • валидността на отворени (тайни) издатели и ключ;
  • ограничаване добавки, използвани по време на вериги за проверка (basicConstraints, nameConstraints, policyConstrains);
  • SOS за всеки издател (дори и ако той не се отменя сертификати).

Сертификатът верига е секвенция на N сертификати, в които:

  • за всички Х, х е собственик на издателя на сертификат на сертификата х + 1;
  • сертификат х = 1 има самоподписан сертификат;
  • Сертификат х = п е сертификат крайния потребител;

Едновременно с веригата на сертификат използва СОС верига е секвенция на N СОС, където:

  • за всички х в СОС, х издател сертификат е х Издател SOS;
  • SOS х = 1 има SOS издаден от собственика на самоподписаният сертификат;
  • X = н COC COC се издава сертификат за потребителското издател;

След изграждането на двата низа (сертификати и COC) е убеден:

  • Криптографски проверка на сертификатите и SOS в вериги;
  • проверка на валидността на сертификата и СОС;
  • проверка на издателите име картографиране и използване nameConstraints допълнения;
  • проверка дължина на веригата с помощта basicConstraints допълнения;
  • проверите за отмяна сертификат, а ако Междинният СА сертификат е бил анулиран от по-висок център на SOS, всички сертификати, издадени от междинен център са невалидни;
  • удостоверение приемливи норми работа проверка и подходящи области от ключов употреба с помощта на добавки и certificatesPolicies extendedKeyUsage.

PKI компоненти и техните функции

Компонентите на състава PKI включват следните компоненти:

  • Сертификационен център;
  • Регистрация център;
  • Крайните потребители;
  • Мрежа директория.

сертифициране център

Сертификационен център (или сертифициращ орган) - основният контрол IEC компонента за формиране на електронни сертификати за подчинените сертифициращи органи и крайните потребители. В допълнение към удостоверението, СО генерира списък с прекратени удостоверения X.509 CRL (COC) с редовност, специален регламент на системата.

Основната функция на СО включват:

  • Формиране свой собствен частен ключ и сертификат CA;
  • Образуване Центрове подчинените сертификати;
  • Образуване на удостоверения с публичен ключ за крайния потребител;
  • Създаване на списък с прекратени удостоверения;
  • Поддържане на база данни за всички произведени удостоверения и списъци с невалидните сертификати;

Регистрация център

Като опция се предлага компонент на PKI, предназначена за регистрация на крайния потребител. Основната цел на ТР - регистрация на потребителите и да се гарантира тяхното взаимодействие с CA. Задачите на CR могат да включват и удостоверения и публикувани SOS в LDAP мрежовата директория.

потребители

Потребителят, приложение или система, е собственик на сертификата и използване на PKI.

мрежа директория

Като опция се предлага компонент на IEC, съдържащи сертификатите и списъците с невалидните сертификати, и сервиране с цел разпространение на тези обекти между потребителите, използващи протокола LDAP (HTTP, FTP).

Използването на PKI приложения

уеб приложения

Уеб браузъри и сървъри, използващи PKI за удостоверяване и поверителността на сесията, както и за онлайн банкиране приложения и електронни магазини. Най-често срещаният протокола в тази област е SSL (Secure Sockets Layer). SSL не се ограничава до заявление за защита на HTTP (Hypertext Transfer Protocol) само, и може да се използва за FTP (File Transfer Protocol) и Telnet.

EDS файлове и приложения

Използването на електронен подпис за подаване на заявления за подписване и файлове, можете спокойно да ги разпространява по интернет. доверието на потребителя в коректността на постъпилата молба от фирмата-разработчик.

да IEC стандарти

в IEC стандарти са разделени на две групи: някои от тях се опише реалното прилагане на PKI и втората част, която се отнася до нивото на употреба, използва PKI, без да го дефиниране. Следващата фигура показва връзката на заявления за стандарти. в IEC стандартизация позволява различни приложения, за да комуникират един с друг с помощта на обща PKI.

Особено важно в областта на стандартизацията:

  • регистрация и генериране на ключове;
  • описват формат на сертификата;
  • SOS описание формат;
  • описание формат криптографски защитена информация;
  • описания на онлайн протоколи.

Основният център за производство на хармонизирани стандарти в работната група на IEC е PKI (PKI работна група) организация IETF (Internet Engineering Task Force), група, известна като PKIX (на PKI за X.509 сертификати намаление).

стандарти PKIX

спецификации PKIX се основават на две групи стандарти: X.509 на ITU-T (Международния комитет по телекомуникации) и PKCS (криптографията с публични ключове стандарти) firmy RSA Security Data. X.509 първоначално е бил предназначен за спецификация удостоверяване, когато се използва като част от X.500 услуга директория. В действителност, синтаксис е-сертификат, предложени в X.509 признат за де факто стандарт и е универсално разпространява независимо от X.500. Въпреки това, X.509 ITU-T не е проектиран за да се определи пълния PKI. За целите на стандартите X.509 в ежедневната практика, потребителите, доставчиците и органи по стандартизация се обръщат към стандартите на PKCS. PKIX следващата група, публикувани на интернет стандарти (RFC):

Стандартна Х.509 ITU-T стандарт е основно основа на всички други използвани в IEC. Нейната основна цел - определянето на електронен формат на списъците с невалидните сертификата и сертификати.

От серия от стандарти, издадени от RSA Security Data, най-важното и се използва в ИЕЦ, са:

Стандарти на базата на IEC

Повечето от стандартите, като се използва криптография, проектирани с използването на PKI.

S / MIME стандарт се определя IETF да осигури сигурна съобщения. S / MIME използва PKI за генериране на електронен подпис и криптиране на информация. група S В / MIME стандарти най-важни са следните: Cryptographic Message Синтаксис, Съобщението спецификация, сертификат Работа и сертификата на клиента Синтаксис.

Протоколът SSL (разработен от Netscape) и съответната IETF TLS стандарт (RFC 2246), са най-често използваните стандарти, за да се гарантира сигурен достъп до Интернет. В същото време, SSL и TLS са широко използвани за създаване на клиент - сървър приложения, не използвайте мрежата. И двете от тези протоколи се основно с помощта на PKI.

Сигурни електронни транзакции (SET)

SET протокол е разработен от Visa и MasterCard и е предназначена да осигури система за електронно банкиране плащания чрез пластмасови карти. В този протокол, PKI е основата, върху която се основава на цялата система на участниците за постигане на споразумение за удостоверяване.

IPSEC протокол (Internet Protocol протокол за сигурност), разработен от IETF като протокол за IP криптиране и е един от основните протоколи, използвани за изграждане на VPN. IEC в протокола IPSEC използва за удостоверяване и шифроване. В момента протоколът все още не е широко разпространена, но универсален PKI развитие води до увеличаване на броя на IPSec реализации.

заключение

Публично-ключ, криптография и цифрови сертификати позволяват да изпълнява според защитени системи и приложения, използващи съвременни технологии и мрежи за данни. Стандартизация в тази област позволява различни приложения, за да комуникират един с друг с помощта на един PKI.

Подкрепете проекта - споделете линка, благодаря!