Построение инфраструктуры открытых ключей на основе openssl

Системы криптографической защиты

Работа прокси-сервера

Изначально прокси-серверы создавались для решения узкого круг задач: кэширование данных, получаемых из Интернета. Со временем их возможности расширились:

· кэширование документов, получаемых по сети;

· кэширование результатов DNS-запросов;

· организация шлюза доступа в сеть;

· управление доступом в Интернет;

· анонимный доступ в сеть через сокрытие адреса;

· экономия IP-адресов.

Самым распространенным прокси-сервером для Unix-систем является squid. Конфигурационный файл – /etc/squid/squid.conf. Основные параметры конфигурации:

· сетевые параметры сервера

o http_port 3128 (порт для запросов клиентов);

o https_port порт (обработка SSL/TLS запросов в режиме акселерации; в качестве опций указывается файл с сертификатом, приватный ключ, версия SSL/TLS, тип шифрования);

o...

· размер кеша и параметры кэширования, параметры запросов;

· сообщения об ошибках, журналы и мониторинг;

· параметры обработки DNS запросов.

Squid поддерживает размер кеша между low и high, регулярно запуская процедуру удаления объектов (чем ближе к high, тем агрессивнее очистка). Вместо удаления можно использовать очистку файлов (truncate), пока хватает inode. Удаление производится асинхронно внешней программой unlinkd. Если объект тянется в данный момент, то он не удаляется. Если объект "отрицательно кэширован", то он удаляется. Если объект частный, то он удаляется. Алгоритмы замещения:

· LRU. Если время с последнего использования объекта больше некой границы (threshold), то объект удаляется. Граница динамически вычисляется на основе заполненности кеша и low/high маркеров (начальное/максимальное значение задается в squid.conf). При стабилизации размера кеша граница представляет время полного заполнения (замещения) кеша в текущих условиях (типичное значение от 1 до 10 дней; если меньше 3 дней, то рекомендуется увеличить кеш).

· GDSF. Стремится удержать маленькие популярные объекты (растет hitrate, падает byterate).

· LFUDA. hitrate падает, byterate – растет.

Большинство широко используемых в Unix протоколов было создано до появления WWW и изобретения современных криптографических систем. Поэтому во многих протоколах понятие безопасности вообще не рассматривается. Там же, где оно якобы учитывается, реализованные механизмы дискредитируются передачей паролей в незашифрованном виде или отсутствием аутентификации клиента. Криптография – решение многих проблем.

Инфраструктура открытого ключа (PKI) является системой цифровых сертификатов, центров сертификации (ЦС), которая производит проверку и подтверждение подлинности каждой из сторон, участвующих в электронной операции, с помощью криптографии открытых ключей.

Сертификат открытого ключа, обычно называемый просто сертификатом – это документ с цифровой подписью, связывающий значение открытого ключа с удостоверением пользователя, устройства или службы, которым принадлежит соответствующий закрытый ключ.

Центр Сертификации (Certification Authority, CA) является пакетом программного обеспечения, принимающим и обрабатывающим запросы на выдачу сертификатов, издающим сертификаты и управляющим выданными сертификатами.

Корневой сертификат – сертификат принадлежащий Центру Сертификации, с помощью которого проверяется достоверность других выданных центром сертификатов.

Список отозванных сертификатов – список скомпрометированных или недействительных по какой либо другой причине сертификатов. Отличительное имя (Distinguished Name, DN) – данные о владельце сертификата. Включают CN (Common Name), OU (Organization Unit), O (Organization), L (Locality), ST (State or province), C (Country name). Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки.

Схема электронной подписи обычно включает в себя:

· алгоритм генерации ключей пользователя;

· функцию вычисления подписи;

· функцию проверки подписи.

Функция вычисления подписи на основе документа и секретного ключа пользователя вычисляет собственно подпись. Функция проверки подписи проверяет, соответствует ли данная подпись данному документу и открытому ключу пользователя. Открытый ключ пользователя доступен всем, так что любой может проверить подпись под данным документом. Для того, чтобы подписать документ нужно зашифровать с помощью закрытого ключа значение хеш-функции от содержимого документа. Чтобы проверить подпись, нужно расшифровать с помощью открытого ключа значение подписи и убедиться, что оно равно хешу подписанного документа. Таким образом цифровая подпись, это зашифрованный хеш документа. Ключ – это набор параметров (чисел). Он может храниться в файле. В теории клиенты должны сами генерировать свои закрытые и открытые ключи, создавать запрос на подпись открытого ключа и отправлять его в центр. На практике большинство клиентов не умеют генерировать ключи, поэтому в нашем случае Центр осуществляет данную работу. Центр может отзывать сертификат, выданный клиенту, помещая его в черный список, который регулярно передается пользователям центра. С помощью корневого сертификата, который публично доступен, пользователи могут проверять сертификаты друг друга.

Итого у центра сертификации имеется:

· закрытый ключ;

· корневой сертификат (хранящий в себе открытый ключ);

· список отозванных (скомпрометированных) сертификатов.

У клиентов:

· закрытый ключ;

· сертификат, подписанный корневым;

· корневой сертификат для проверки того, что сертификаты других пользователей выданы его доверенным центром;

· список отозванных (скомпрометированных) сертификатов.

Создание корневого сертификата включает:

· Генерацию закрытого ключа.

· Генерацию открытого ключа и его подпись с помощью закрытого.

Создание обычного сертификата включает:

· Генерацию закрытого ключа.

· Создание запроса на подпись сертификата.

· Подпись запроса в центре сертификации о получение сертификата.

Общепринятый формат информации, содержащейся в сертификате, называется Х509. Сертификаты и ключи могут храниться в разных типах файлов. (Например, PEM и PKCS12. PEM используется на серверах, PKCS12 – в браузерах).

OpenSSL – набор криптографических программ и библиотек – предоставляет средства для управления сертификатами и закрытыми ключами. Синтаксис вызова его функций: openssl <имя_команы> <параметры>.

Основные команды:

· rsa – работа с ключами;

· x509 – работа с файлами сертификатов в формате PEM;

· pkcs12 – работа с файлами сертификатов в формате PKCS12;

· crl – работа со списком отозванных сертификатов.

Предварительная подготовка

Данный этап включает оценку числа клиентов, спецификацию требуемых типов сертификатов, требования к их стойкости и времени жизни. На выходе желательно получить предварительные версии Certificate Policy и Certificate Practice. Возможно, это будет один совмещенный документ. В Certificate Policy описываются общая архитектура центра сертификации, ответственные лица, процедуры первоначальной генерации корневого сертификата, резервного копирования, обстоятельства отзыва ключей, механизм передачи сертификатов клиентам (внутренним и внешним). В Certificate Statement описываются типы сертификатов, необходимые атрибуты и расширения, уточнения процедур передачи отзыва, перевыдачи, сроки жизни. Желательно систематизировать именование полей сертификатов, к примеру, в качестве OU можно использовать общепринятое название отдела.

Для инсталляции центра сертификации можно использовать адаптированные свободно распространяемые наборы скриптов.

Дата добавления: 2014-12-07; Просмотров: 593; Нарушение авторских прав?; Мы поможем в написании вашей работы!