1. Главная
  2. Технологии
  3. Распространение открытых ключей

Распространение открытых ключей

В настоящее время существует две технологии распространения открытых асимметричных ключей между абонентами. Это технология PGP и технология PKI (ИОК).

Технология PGP

Технология PGP применяется в тех случаях, когда возможно полное доверие друг другу. Например, когда все потенциальные абоненты собираются вместе и напрямую обмениваются своими открытыми ключами. В этом случае, получая ключ, мы знаем, что он получен из рук владельца, и доверяем, что этот ключ истинный. Далее, обмен информацией происходит по выше описанным алгоритмам.

Технология PKI (ИОК)

В случае, когда абоненты находятся далеко друг от друга и не имеют возможности встретиться лично, технология PGP не работает, так как мы не можем доверять лицу, которого мы не видим.

Проблема распространения открытых ключей между удаленными абонентами выражается в том, что при использовании открытых каналов связи возможна организация атаки «Посредник». Злоумышленник может перехватить наш открытый ключ, отправленный абоненту, и подменить его своим открытым ключом. Абонент, получив ключ, будет считать его нашим, и использовать в конфиденциальной переписке и для проверки электронной цифровой подписи, а злоумышленник получит полный контроль над процессом обмена информацией между нами и нашим абонентом.

Для предотвращения подобной ситуации и была создана технология, которая получила название PKI (Public Key Infrastructure) – Инфраструктура Открытых Ключей (ИОК – в Российских руководящих документах).

В процессе обмена ключами по этой технологии участвуют три субъекта: два абонента, не доверяющие друг другу, и Удостоверяющий центр (УЦ), которому доверяют абоненты. УЦ является хранителем открытых ключей абонентов, и в случае необходимости выдаёт эти ключи совместно с сертификатом, подтверждающим их подлинность. Так как злоумышленник не может скрытно и быстро подменить сертификат, то абоненты доверяют, что полученные открытые ключи принадлежат конкретным лицам.

Как мы видим – цель технологии PKI состоит в управлении ключами и сертификатами, в результате чего любая организация может поддерживать надежную среду обмена информацией. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами PKI являются:

- удостоверяющий центр;

- регистрационный центр;

- репозиторий сертификатов;

- список отозванных сертификатов;

- архив сертификатов;

- конечные пользователи.

В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей. Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий центр

Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты конечных пользователей. УЦ является главным управляющим компонентом PKI:

- он является доверенной третьей стороной;

- осуществляет управление сертификатами.

В случае необходимости, может быть выстроена иерархия УЦ. Т.е. основной УЦ делегирует свои полномочия и доверие подчиненному УЦ, например, в удаленном регионе. Уровней иерархии может быть несколько. Доверие ко всем подчиненным УЦ определяется уровнем доверия к основному УЦ.

Регистрационный центр

Регистрационный центр (РЦ) – необязательный компонент системы, предназначенный для регистрации пользователей. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один удостоверяющий центр может работать с несколькими регистрационными центрами, в этом случае он поддерживает список аккредитованных регистрационных центров, то есть тех, которые признаны надежными. Иногда, удостоверяющий центр сам выполняет функции регистрационного центра.

Репозиторий

Репозиторий – хранилище, содержащее действующие сертификаты и служащее для распространения их среди пользователей. В Законе РФ «Об электронной цифровой подписи» он называется Реестр сертификатов ключей подписей.

Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и списков отозванных сертификатов, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:

- простота и стандартность доступа;

- регулярность обновления информации;

- встроенная защищенность;

- простота управления.

Репозиторий обычно размещается на сервере каталогов.

Наши рекомендации

Назначение и функции инфраструктуры открытых ключей (ИОК).

Сертификаты открытых ключей. Бюро сертификации ключей.

Тема 41. Безопасность компьютерных систем на основе инфраструктуры открытых ключей

Инфраструктура открытых ключей PKI

Порядок выдачи аварийных ключей из ящика хранения, в том числе ключей от кассовых помещений, СТП, разъединителей КР.

Центр удостоверения открытых ключей

Инфраструктура открытых ключей

Инфраструктура открытых ключей. цифровые сертификаты

Механизм распространения открытых ключей

Инфраструктура открытых ключей