CryptoPRO, certificat digital

Nevoia de a proteja informațiile

Dezvoltarea rapidă continuă a tehnologiei informatice și adoptarea pe scară largă a afacerilor prin intermediul Internetului modifică în mod fundamental modurile stabilite de a face afaceri. Sistemele de securitate corporatistă care oferă și afaceri nu pot rămâne prea mult.







Pentru ce este criptografia?

Sistemul de protecție criptografică trebuie să asigure:

Ce este criptografia cu chei publice?

Criptografic transformare (criptare) - unu-la-unu de transformare matematică, care depinde de cheie (parametrul de transformare secretă) care asociază blocul de informații publice (reprezentate într-o codificare digitală) blocul de informații criptate este, de asemenea, furnizate în codificarea digitală. Termenul de criptare combină două procese: criptarea și decriptarea informațiilor.

Criptografia este împărțită în două clase: cu chei simetrice și chei publice.

În criptografia cu chei simetrice, expeditorul și receptorul utilizează aceeași cheie (comună), atât pentru criptare, cât și pentru decriptare.

Avantajele criptografiei cu chei simetrice:

  • Performanță - Performanța algoritmilor cu chei simetrice este foarte mare.
  • Persistență - criptografia cu chei simetrice este foarte stabilă, ceea ce face ca procesul de decriptare să fie aproape imposibil. Alte lucruri fiind egale (algoritmul general), rezistența este determinată de lungimea cheii. Cu o lungime de cheie de 256 de biți, este necesar să se genereze 10 până la 77 de grade de forță brute pentru a determina cheia.

Dezavantaje ale criptografiei cu chei simetrice:

  • Alocarea cheii - Deoarece aceeași cheie este folosită pentru criptare și decriptare, criptografia cu chei simetrice necesită mecanisme foarte fiabile pentru distribuirea cheilor.
  • Scalabilitate - Deoarece se utilizează o singură tastă între expeditor și fiecare destinatar, numărul de taste necesare crește exponențial. Pentru 10 utilizatori, aveți nevoie de 45 de taste, iar pentru 100 deja 499500.
  • Utilizarea limitată - Deoarece criptografia cu chei simetrice este folosit doar pentru a cripta datele și restricționează accesul la acesta, atunci când este utilizat este imposibil de a oferi autentificare și non-repudiere.

În criptografia cu chei publice se utilizează o pereche de chei: o cheie publică și o chei privată (privată) cunoscută numai proprietarului acesteia. Spre deosebire de cheia secretă, care trebuie păstrată în secret, cheia publică poate fi distribuită prin rețea. Cheia secretă în criptografie cu chei publice este folosită pentru a genera semnătura electronică și pentru a decripta datele.

Criptografia cu chei publice oferă toate cerințele pentru sistemele criptografice. Dar implementarea algoritmilor necesită mult timp CPU. Prin urmare, în forma sa pură, criptarea cu cheile publice în practica mondială nu este de obicei aplicată. Cheile simetrice (sesiune) sunt utilizate pentru a cripta datele, care, la rândul lor, sunt criptate folosind tastele de sesiune deschise pentru transmisie prin rețea.

Criptografia cu chei publice necesită PKI (Infrastructură cu chei publice), un serviciu esențial pentru gestionarea certificatelor electronice și a cheilor de utilizatori, a aplicațiilor software și a sistemelor.

Verificarea cheii publice

Utilizarea directă a cheilor publice necesită protecție suplimentară și identificare pentru a determina conexiunea cu cheia secretă. Fără o astfel de atacator protecție suplimentară poate să se prezinte ca expeditorul datelor semnate, iar destinatarul datelor criptate, înlocuind valoarea cheii publice sau distruge identitatea. În acest caz, toată lumea se poate preface că este regină engleză. Toate acestea conduc la necesitatea de a verifica cheia publică. În acest scop, se utilizează un certificat electronic.

Un certificat electronic este un document digital care leagă o cheie publică unui anumit utilizator sau aplicație. Pentru a autentifica un certificat electronic, se utilizează o semnătură digitală electronică a centrului de încredere - Centrul de certificare (CA). Pe baza funcțiilor efectuate de CA, aceasta este componenta principală a întregii Open Key Infrastructure. Utilizând cheia publică a CA, fiecare utilizator poate verifica valabilitatea certificatului electronic emis de CA și poate profita de conținutul său.

Verificarea lanțului de certificate

După cum sa descris mai devreme, încrederea în orice certificat de utilizator este determinată pe baza lanțului de certificate. Elementul inițial al lanțului este certificatul centrului de certificare, stocat într-un director de utilizator personal protejat.

Procedura de verificare a lanțului de certificate este descrisă în recomandările X.509 și RFC 2459 și verifică relația dintre numele proprietarului certificatului și cheia publică. Procedura de verificare a lanțului presupune că toate lanțurile "dreapta" încep cu certificate emise de o singură autoritate de certificare de încredere. Centrul de încredere este CA principală, cheia publică a căruia este inclusă în certificatul auto-semnat. Această limitare simplifică procedura de verificare, deși existența unui certificat auto-semnat și a verificării sale criptografice nu oferă securitate. Pentru a asigura încrederea în cheia publică a unui astfel de certificat, ar trebui să se aplice metode speciale de distribuire și stocare a acestuia, deoarece toate celelalte certificate sunt verificate pe această cheie publică.







Algoritmul de verificare a lanțurilor utilizează următoarele date:

  • X.500 numele editorului certificatului;
  • X.500 numele titularului certificatului;
  • cheia publică a editorului;
  • Perioada de valabilitate a cheii deschise (secretă) a editorului și a proprietarului;
  • restricții adiționale utilizate în verificarea lanțurilor (basicConstraints, nameConstraints, policyConstrains);
  • SOS pentru fiecare Publisher (chiar dacă nu conține certificate revocabile).

Un lanț de certificat este o succesiune de certificate n, în care:

  • pentru toți cei x, titularul certificatului x este editorul certificatului x + 1;
  • certificatul x = 1 este un certificat cu auto-semnat;
  • certificatul x = n este certificatul utilizatorului final;

Simultan cu lanțul de certificate, se utilizează un lanț de COS, care este o secvență de n COS, în care:

  • pentru toate SOS x in, Certificatul Publisher x este SOS Publisher x;
  • SOS x = 1 este SOS emis de către titularul certificatului auto-semnat;
  • SOS x = n este SOS eliberat de editorul certificatului de utilizator final;

După construirea a două lanțuri (certificate și SOS):

  • verificarea criptografică a certificatelor și SOS în lanțuri;
  • verificarea validității certificatelor și SOS;
  • verificarea faptului că numele editorului și al proprietarului se potrivesc cu ajutorul extensiei nameConstraints;
  • verificarea lungimii lanțului utilizând elementul BasicConstraints;
  • Verificați dacă certificatul de revocare, iar în cazul în care certificatul CA intermediar a fost revocat de către un centru mai mare de SOS, toate certificatele emise de un centru intermediar sunt nule;
  • verificând regulile acceptabile pentru utilizarea certificatului și zonele acceptabile pentru utilizarea cheii utilizând certificatele de completarePolicies și extendedKeyUsage.

Componentele IEC și funcțiile acestora

Componentele IEC conțin următoarele componente:

  • Centrul de certificare;
  • Centrul de înregistrare;
  • Utilizatori finali;
  • Director de rețea.

Centrul de certificare

Centrul de Certificare (sau Autoritatea de Certificare) este componenta principală de management a IEC, destinată formării certificatelor electronice ale Centrelor Subordonate și ale utilizatorilor finali. În plus față de certificate, CA generează o listă a CRL-urilor X.509 revocate (CRL) cu regularitatea definită de regulamentul de sistem.

Principalele funcții ale CA includ:

  • Formarea propriului dvs. chei private și a certificatului CA;
  • Formarea certificatelor de centre subordonate;
  • Generarea certificatelor de cheie publică pentru utilizatorii finali;
  • Formarea listei certificatelor revocate;
  • Menținerea bazei de date a tuturor certificatelor eliberate și a listelor certificatelor revocate;

Centrul de înregistrare

O componentă opțională a CEI, destinată înregistrării utilizatorilor finali. Principala sarcină a CR este de a înregistra utilizatorii și de a asigura interacțiunea acestora cu CA. Sarcinile CR pot include, de asemenea, publicarea certificatelor și SOS în directorul de rețea LDAP.

Lista de membri

Un utilizator, o aplicație sau un sistem care este proprietarul certificatului și care utilizează IEC.

Director de rețea

O componentă opțională a IEC care conține certificate și liste de certificate revocate și servește în scopul distribuirii acestor obiecte în rândul utilizatorilor care utilizează protocolul LDAP (HTTP, FTP).

Utilizarea IEC în aplicații

Aplicații Web

Browserele și serverele Web utilizează IEC pentru autentificarea și confidențialitatea sesiunilor, precum și pentru aplicațiile bancare online și magazinele electronice. Protocolul cel mai comun în această zonă este protocolul SSL (Secure Sockets Layer). Protocolul SSL nu se limitează la utilizarea numai pentru protecția HTTP (Hypertext Transfer Protocol), dar poate fi de asemenea utilizat pentru FTP (File Transfer Protocol) și Telnet.

Fișiere și aplicații EDS

Utilizarea EDS pentru semnarea aplicațiilor și a fișierelor vă permite să le distribuiți în siguranță pe Internet. În acest caz, utilizatorul este sigur de corectitudinea aplicației primite de la dezvoltator.

Standarde în domeniul IEC

în standardele IEC sunt împărțite în două grupe: unele dintre ele descriu punerea în aplicare efectivă a PKI, iar partea a doua, care se referă la nivelul de utilizator, utilizează un PKI fără să o definească. Figura de mai jos arată relația dintre aplicații și standarde. în IEC de standardizare permite diferite aplicații să comunice între ele folosind un PKI comună.

În special, standardizarea este importantă în domeniul:

  • procedurile de înregistrare și de dezvoltare a cheii;
  • descrierea formatului certificatului;
  • descrierea formatului SOS;
  • descrierea formatului datelor protejate criptografic;
  • descrierea protocoalelor online.

Principalul centru pentru producerea de standarde armonizate în cadrul grupului de lucru IEC este un PKI (grup de lucru PKI) organizația IETF (Internet Engineering Task Force), un grup cunoscut sub numele de PKIX (pe PKI pentru reducerea certificatelor X.509).

Standardele PKIX

caietul de sarcini PKIX se bazează pe două grupe de standarde: X.509 ITU-T (Comitetul Internațional privind telecomunicațiile) și PKCS (Standarde criptografia cu chei publice) FIRMY RSA Data Security. X.509 a fost proiectat inițial pentru caietul de sarcini de autentificare atunci când sunt utilizate ca parte a serviciului director X.500. De fapt, e-certificat de sintaxă propusă în X.509 recunoscut ca standard de facto și a fost răspândit în mod universal, indiferent de X.500. Cu toate acestea, X.509 ITU-T nu a avut intenția de a defini pe deplin IEC. În sensul standardelor X.509 în practica de zi cu zi, utilizatorii, furnizorii și organismele de standardizare sunt de cotitură la standarde PKCS. Grupul PKIX a emis următoarele standarde Internet (RFC):

Standardul X.509 ITU-T este standardul fundamental care stă la baza tuturor celorlalte în IEC. Scopul său principal este de a determina formatul certificatului electronic și listele certificatelor revocate.

Din seria standardelor publicate de RSA Data Security, cele mai importante și folosite în IEC sunt:

Standarde bazate pe IEC

Majoritatea standardelor care utilizează criptografia sunt concepute ținând seama de utilizarea IEC.

Standardul S / MIME este definit de IETF pentru furnizarea de mesaje securizate. S / MIME utilizează IEC pentru a genera EDS și pentru a cripta informațiile. În grupul standard S / MIME, cele mai importante sunt următoarele: Sintaxă mesaj criptografic, specificație mesaj, manipulare certificat și sintaxă de solicitare certificat.

Protocolul SSL (dezvoltat de Netscape) și standardul IETF TLS corespunzător (RFC 2246) sunt cele mai frecvent utilizate standarde pentru a asigura accesul securizat la Internet. În același timp, SSL și TLS sunt utilizate pe scară largă pentru a crea un client - server de aplicații, nu utilizați Web. Ambele protocoale se bazează pe IEC.

Secure tranzacții electronice (SET)

Protocolul SET a fost dezvoltat de Visa și MasterCard și este conceput pentru a oferi un sistem bancar electronic care utilizează carduri de plastic. În acest protocol, IEC este fundamentul pe care se bazează întregul sistem de autentificare a participanților la calcule.

Protocolul IPSEC (Internet Protocol Security Protocol) este dezvoltat de IETF ca protocol pentru criptarea IP și este unul dintre protocoalele principale folosite pentru a construi o rețea VPN. IEC din protocolul IPSEC este utilizat pentru autentificare și criptare. În prezent, protocolul nu este încă distribuit pe scară largă, însă dezvoltarea pe scară largă a IECI duce la o creștere a numărului de implementări IPSEC.

concluzie

Cheile de criptografie publică și certificatele electronice permit implementarea unor sisteme și aplicații cu adevărat sigure, care utilizează tehnologii moderne și rețele de date. Standardizarea în acest domeniu permite interacțiunii diferitelor aplicații între ele utilizând o singură infrastructură Open Key.







Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: