Что такое PKI? Основные компоненты эффективной PKI
PKI (Public Key Infrastructure – Инфраструктура открытых ключей) – набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
1. закрытый ключ известен только его владельцу;
2. удостоверяющий центр создает сертификат открытого ключа, таким образом, удостоверяя этот ключ;
3. никто не доверяет друг другу, но все доверяют удостоверяющему центру;
4. удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.
PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой посредством удостоверяющего центра.
PKI реализуется по модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента.
Основные компоненты PKI:
1. Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. УЦ является главным управляющим компонентом PKI, то есть, он является доверенной третьей стороной и это сервер, который осуществляет управление сертификатами.
Сертификат открытого ключа (сертификат) – документ который содержит данные пользователя и его открытый ключ, скрепленные подписью удостоверяющего центра и информацию о сроке действия сертификата. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.
2. Регистрационный центр (РЦ) – необязательный компонент системы, предназначенный для регистрации пользователей. Для этих целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.
3. Репозиторий – хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.
4. Архив сертификатов – хранилище всех изданных когда-либо
сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
5. Центр запросов – необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
6. Конечные пользователи – пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Основные задачи, которые решает инфраструктура управления открытыми ключами:
– обеспечение конфиденциальности информации;
– обеспечение целостности информации;
– обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи; – обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, или апеллируемость).
PKI напрямую не реализует авторизацию, доверие, именование субъектов криптографии, защиту информации или линий связи, но может использоваться как одна из составляющих при их реализации.
Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов.
В число приложений и служб, поддерживающих PKI, входят:
– защищенная электронная почта,– протоколы платежей, электронные чеки,– электронный обмен информацией,– защита данных в сетях с протоколом IP,– электронные формы и документы с электронной подписью (ЭП).
PKI оперирует в работе сертификатами.
Примеры использования PKI
- усиленная квалифицированная электронная подпись (ЭП);- шифрование сообщений;
- авторизация