Материалы что дал Мухачев / Материалы что дал Мухачев / Білети_коротки_відповіді / Білети_відпові_УБДМ / Sp_Otvet05
.doc№ 05. Компоненти і сервіси ІВК.
Інфраструктура відкритих ключів являє собою комплексну систему, що забеспечує усі необхідні для використання технологіі відкритих ключів послуги (сервіси). Роль ІВК полягає в управлінні відкритими ключами і криптографічно захищеними електронними документами, що називаються сертифікатами відкритих ключів, через які користувачі можуть підтримувати захищений документообіг у мережі зв’язку. ІВК дозволяє використовувати сервіси шифрування і формування цифрового підпису у спосіб, що узгоджується з широким колом прикладних програм. Базовим стандартом, що визначає формат сертифікату та список відкликаних сертифікатів, є ITU-T Recommendation X.509.
До основних складових ІВК відносяться:
а) ЦС - центр сертифікаціі ключів (орган, уповноважений на сертифікацію);
б) ЦР - Центр реєстрації;
в) каталог (репозітарій, реєстр) сертифікатів;
г) сервер відновлення ключів;
д) користувачі (кінцеві суб’єкти)
е)нормативні документи, які регламентують порядок роботи суб‘єктів ІВК та використання об‘єктів ІВК (політика і регламентцентру сертифікації, політика безпеки, профайл сертифікату тощо).
У складі ІВК повинні функціонувати підсистеми скасування сертифікатів, створення, скасування відновлення ключів, автоматичного корегування пар ключів, супроводження життєвого циклу ключів, підтримки т.зв. взаємної сертифікації, тощо. Прикладне програмне забезпечення користувачів має взаємодіяти з усіма підсистемами у безпечний, узгоджений та надійний спосіб.
Функції, що виконує ІВК, умовно можливо розділити на основні (функції управління сертифікатами) та додаткові.
До складу основних функцій управління сертифікатами входять:
-
Реєстрація (ідентифікація та реєстрація кінцевого користувача в системі).
-
Сертифікація відкритих ключів (процес формування сертифікатів відкритих ключів для кінцевих користувачів фізичних та юридичних осіб, центрів сертифікації ключів, тощо) та подальше публікування їх в базі сертифікатів для забезпечення доступу до них суб‘єктів взаємодії.
- Відкликання сертифікатів (процес блокування або скасування дії сертифікату при умові виникнення певних обставин. Центр сертифікації ключів – основний керуючий суб‘єкт ІВК, призначений для формування та управління сертифікатами відкритого ключа кінцевих користувачів або інших ЦС. Крім цього, ЦС формує списки скасованих сертифікатів з визначеною регулярністю. Регулярність формування списків відкликаних сертифікатів визначається політикою центру сертифікації.
Центр реєстрації (ЦР) – неосновний суб‘єкт ІВК, що призначений для реєстрації кінцевих користувачів або систем та забезпечення їх взаємодії з ЦСК. ЦР забезпечує зв‘язок ЦСК та кінцевих користувачів в разі географічного віддалення їх один від одного. Функції Центру реєстрації може виконувати ЦС. На центр реєстрації, наприклад, покладається безпосередній контакт з фізичними особами, перевіка паспортних даних, складання двосторонніх угод, генерація ключів за бажанням клієнта і т.і. Великі ІВК можуть містити декілька ЦС та ЦР (до десятків, сотень).
Каталог (репозітарій, реєстр) сертифікатів.
Щоб звільнити кінцевих користувачів від необхідності зберігати сертифікати на локальних машинах, центри сертифікації використовують каталог, централізоване сховище сертифікатів. В каталозі інформація про користувачів, така як адреса електронної пошти, телефони і сертифікати, доступна для клієнтів у зручному виді. Клієнти каталогу можуть знаходити в ньому записи й атрибути, використовуючи полегшений протокол служби каталогів.
Сервер відновлення ключів
У діючий інфраструктурі відкритих ключів трапляється втрата окремими користовучами своїх секретних ключів.
У випадку втрати секретного ключа ЦС повнен скасувати відповідний сертифікат відкритого ключа, крім того, сформувати нову асиметричну пару ключів для ЦП, створити новий сертифікат відкритого ключа і т.і. У результаті всі дані, зашифровані до того як відбувся інцидент, стають невідновними. Одне з рішень полягає в тому, щоб задіяти сервер відновлення і резервного копіювання ключів. Цей сервер надає ЦС можливість створювати резервні копії секретних ключів у момент генераціїі та відновлювати їх згодом.