Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4601 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет телекоммуникаций
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Материалы что дал Мухачев / Материалы что дал Мухачев / Конспекти_лекцій / Lect_18_2014.doc
Скачиваний:
57
Добавлен:
19.02.2016
Размер:
108.54 Кб
Скачать
►Содержание►

Лекція 18. Інфраструктура відкритих ключів, що побудована на сертифікатах

Основною перевагою асиметричних криптосистем, є те, що для їхнього функціонування етап розповсюдження секретних ключів не потрібний.

В той же час, для їх застосування в мережі зв’язку з недовірою між абонентами, необхідно мати механізм автентифікації відкритих ключів.

Відповідно до рекомендацій міжнародних стандартів, наприклад, Х.805, при передачі даних в мережі зв’язку в системі захисту інформації, крім функції автентифікації, мають бути реалізовані функії конфіденційності, цілісності, контролю доступу до ресурсів мережі, невідмови від участі в обміні даними, безпеки з’єднання абонентів, неможливості відмови в авторизованому доступі, та механізм забезпечення приватності даних.

Загальні підходи до реалізації цих сервісів на основі асиметричних криптоалгоритмів надані в рекомендаціях стандарту Х.509, які дозволяють дійти висновку, що проблема автентифікації відкритих ключів не вирішується в рамках математичної моделі. Фактично, сучасні підходи для її вирішення основані на організаційних заходах. Ідея полягає в тому, що абонент-відправник звертається до довірчого органу з проханням підтвердити, що відкритий ключ, який він має застосувати, дійсно належить абоненту, для якого повідомлення призначається. Щоб уникнути постійних звернень до довірчого органу зі сторони абонентів, існує процедура, відповідно до якої довірчій орган формує та видає відповідному абоненту електронний документ, завірений за допомогою цифрового підпису, у якому передбачені дані, що дозволяють здійснювати перевірку відкритих ключів самими абонентами. Такий документ називається сертифікатом відкритого ключа. У сеансі зв’язку один абонент пред’являє сертифікат, а інший перевіряє, чи є відповідний відкритий ключ дійсним.

18.1 Концепція інфраструктури відкритих ключів

Необхідність автентифікації відкритого ключа пов’язана з тим, що ключ шифрування є відкритим і відправник не має можливості перевірити, чи відкритий ключ дійсно відповідає потрібному абоненту, а не зловмиснику, що підмінив криптосистему. На даний час для виходу з цього положення широко застосовуються системи, що використовують, так звану, довірчу особу, або довірчий орган.

Загальноприйнятою назвою подібних систем є інфраструктура відкритих ключів (Public Key Infrastructure). Основною метою інфраструктури відкритих ключів (ІВК) є забезпечення безпечного обміну відкритими ключами між учасниками електронного обміну даними.

Інфраструктура відкритих ключів являє собою комплексну систему, що забеспечує усі необхідні для використання технологіі відкритих ключів послуги (сервіси). ІВК дозволяє використовувати сервіси шифрування і формування цифрового підпису у спосіб, що узгоджується з широким колом прикладних програм.

До основних складових ІВК відносяться:

а) ЦС - центр сертифікаціі ключів (орган, уповноважений на сертифікацію);

б) ЦР - Центр реєстрації;

в) каталог (репозітарій, реєстр, англ. Directory) сертифікатів;

г) сервер відновлення ключів;

д) користувачі (кінцеві суб’єкти)

е)нормативні документи, які регламентують порядок роботи суб‘єктів ІВК та використання об‘єктів ІВК (політика і регламент центру сертифікації, політика безпеки, профайл сертифікату тощо).

У складі ІВК повинні функціонувати підсистеми скасування сертифікатів, створення, скасування та відновлення ключів, автоматичного корегування пар ключів, супроводження життєвого циклу ключів, підтримки т.зв. взаємної сертифікації, тощо. Прикладне програмне забезпечення користувачів має взаємодіяти з усіма підсистемами у безпечний, узгоджений та надійний спосіб.

Для різних користувачів довірчою стороною можуть виступати різні центри сертифікації, або навіть користувачі з відповідними повноваженнями. Таким чином, ІВК має гарантувати перевіряючому, що він може довіряти іншим центрам сертифікації чи уповноваженим користувачам.

Для реалізації цієї вимоги прийнято концепцію шляхів довіри. Шлях довіри – це ланцюжок сертифікатів, що дозволяє простежити статус довіри між центрами сертифікації: своїм та відправника. Якщо центри сертифікації довіряють одне одному, то перевіряючій може довіряти відповідному користувачу. У сертифікатах передбачено наявність інформації, що дозволяє пересуватися ланцюжком сертифікатів та перевіряти дійсність сертифікату на відповідному кроці.

Соседние файлы в папке Конспекти_лекцій
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности