Аутентификация посредством цифровых сертификатов

Инфраструктура открытых ключей – РKI

Системы управления асимметричными ключами

Существует широкий круг задач по обеспечению достоверности, безопасности и целостности информации, внутри информационной структуры организации, решение которых средствами, отличными от Инфраструктуры Открытых Ключей (PKI), приведет к неоправданным финансовым тратам и в то же время несоразмерно усложнит имеющуюся информационную структуру. Наиболее актуальные задачи, решаемые внедрением PKI, включают в себя:

• Обеспечение достоверности, безопасности и целостности транзакций, электронных документов или почтовых сообщений;
• Строгая аутентификация пользователей и программных сервисов;
• Строгая аутентификация аппаратных устройств;
• Ведение электронной коммерции;
• Защищенная электронная почта;
• Контроль происхождения транзакции, документа или почтового сообщения;
• Установление достоверного времени создания документа/транзакции.

Мозаику PKI составляют следующие элементы:

• сертификаты, представляющие собой наборы данных, используемых для установления подлинности пользователей;
• центры сертификации CA (Certificate Authority), принимающие собой окончательное решение об аутентификации субъекта;
• центры регистрации RA (Registration Authority), получающие и обрабатывающие запросы о подписи сертификатов со стороны конечных пользователей;
• каталоги LDAP, содержащие общедоступную информацию о сертификатах;
• списки отозванных (аннулированных) сертификатов CRL (Certificate Revocation List).

Данный тип аутентификации основан на применении асимметричных криптографических методов, сущность которых заключается в использовании двух ключей – один, для шифрования данных, открытый ключ, другой, закрытый ключ для дешифрования.

Данные, зашифрованные общедоступным открытым ключом, могут быть расшифрованы, только владельцем парного закрытого ключа.

В рассматриваемом случае принципалу выдается сертификат, который представляет собой набор данных, используемых для установления подлинности принципала. Основные данные сертификата включают в себя открытый ключ и сведения о принципале, срок действия сертификата, информацию об организации, выдавшей сертификат, ее открытый ключ и цифровую подпись, сгенерированную этой организацией.

Цифровая подпись представляет собой набор байт, полученный путем применения к исходным данным функции одностороннего преобразования (хэш-функции), в результате которого получает последовательность байт, определенной длины, которая затем шифруется при помощи секретного ключа лица, создающего сигнатуру. Лицо, создавшее эту подпись с помощью своего закрытого ключа, называется автором подписи. Эту подпись можно дешифровать только с помощью открытого ключа автора – таким образом, она удостоверяет его личность (рис. 1-2).

Рис. 1. Алгоритм создания цифровой подписи

Рис. 2. Алгоритм проверки цифровой подписи

Сертификат выпускается специализированным полномочным органом сертификации – Центром Сертификации (Certificate Authority - CA). Центр сертификации, выпуская сертификат, заявляет, что указанный в сертификате открытый ключ принадлежит именно тому субъекту, о котором говорится в сертификате. Конечно, необходимо доверять самому центру сертификации и заранее получить его открытый ключ или самоподписанный сертификат. Сертификаты общеизвестных центров сертификации, например Verisign, для обеспечения повышенной безопасности обычно устанавливаются компанией производителем программного обеспечения заранее, в такие программные продукты, как браузеры.

Наиболее популярным является сертификат, определенный стандартом X.509. Стандарт Х.509 предусматривает использование различных алгоритмов создания цифровой подписи.

Для получения сертификата необходимо, например, средствами Web, отправить в CA запрос на выдачу сертификата (Certificate Signing Request – CSR), содержащий необходимую для выдачи сертификата информацию. Сотрудники органа сертификации обрабатывают запрос и производят генерацию сертификата, который может быть выслан по электронной почте.

Органы сертификации также предоставляют списки аннулированных сертификатов (Certificate Revocation List – CRL), в которых перечисляются сертификаты, аннулированные до окончания срока их действия. Периодически опрашивая CRL-списки, пользователь может проверить, имеют ли сертификаты, присылаемые ему другими лицами, законную силу.

Сертификат в основном используется в случае, когда необходимо произвести обмен открытыми ключами шифрования и убедится, что полученный ключ, принадлежит именно тому объекту, с которым производится обмен. Если использовать обмен ключами без применения сертификатов, то появляется возможность перехвата злоумышленником трафика данных в процессе обмена открытыми ключами, с последующей передачей фиктивного ключа обеим сторонам, после чего атакующий может просматривать и изменять передаваемые данные (рис. 3).

Рис. 3. Схема действий злоумышленника

Наибольшее распространение, в силу высокой надежности, гибкости и ориентацией на слабосвязанные среды, метод аутентификации, основанный на цифровых сертификатах, получил в применении к приложениям электронной коммерции, в которых необходимо однозначно идентифицировать территориально распределенные стороны обмена и обеспечить их защищенное взаимодействие.

Схема проверки подлинности ISO

Для использования в схеме проверки подлинности ISO, также известной как протоколы X.509, рекомендуется криптография с открытыми ключами. Эта схема обеспечивает проверку подлинности по сети. Хотя конкретный алгоритм не определен ни для обеспечения безопасности, ни для проверки подлинности, спецификация рекомендует использовать RSA. Однако возможно использование нескольких алгоритмов и хэш-функций.

Первоначальный вариант X.509 был выпущен в 1988 г. После открытого изучения и комментирования он был пересмотрен в 1993 году, чтобы исправить некоторые изъяны в безопасности.

Дата добавления: 2014-01-04; Просмотров: 819; Нарушение авторских прав?; Мы поможем в написании вашей работы!