- •114. Синтаксис команд OpenGl
- •119. Состав и назначение интегрированной среды визуальной разработки. Использование визуальных компонентов.
- •120. Списки и их использование в Прологе
- •121. Способы и устройства получения стереоизображений
- •122. Средства распределения данных субд Oracle
- •1. Удаленные dml-операции.
- •2. Синхронные удаленные вызовы процедур (rpc)
- •124. Стек протоколов tcp/ip
- •125. Структура общего решения линейного однородного дифференциального уравнения 2-го порядка
- •126. Css. Подключение таблиц стилей. Способы использования.
- •127. Структурная схема эвм и процессоров Intel
- •128. Структурный анализ потоков данных. Методология dfd.
- •129. Структуры данных, используемые в пролог программе
- •130. Сущность структурного подхода при проектировании больших систем
- •131. Схема распределения данных. Теория сравнений
- •132. Техническое задание на разработку программы (в соответствии с гост 19.201-79)
- •133. Технология Web Broker. Структура серверного Web-приложения
- •134. Технология постановки/проверки электронной цифровой подписи посредством CryptoAip
- •135. Технология шифрования/расшифрования посредством CryptoAip
- •137. Транзакции в многопользовательском режиме работы
- •138. Управление криптографическими ключами посредством CryptoAip
- •139. Управление криптопровайдерами посредством CryptoAip
- •140. Управление открытыми ключами (cертификаты, стандарт х.509, инфраструктуры систем с открытыми ключами)
- •141. Упрощённая модель компилятора. Функции лексического, синтаксического, семантического анализатора, генератора кода. Взаимодействие блоков компилятора. Проходы компилятора
- •142. Формула полной вероятности и формула Байеса
- •145. Функции двух переменных
- •146. Функции переноса, поворота и масштабирования и их параметры в OpenGl
- •Void glMatrixMode (gLenum mode)
- •Void glLoadMatrix[f d] (gLtype *m)
- •Void glPushMatrix (void)
- •Void glPopMatrix (void)
- •Void glMultMatrix[f d] (gLtype *m)
- •147. Функции. Параметры функций. Способы обмена информацией между функциями
- •149. Функциональный стек lamp
- •150. Цветовые схемы rgba и cmyk
- •151. Что такое операционная система (ос). Основные понятия, концепции ос: системные вызовы; Прерывания; Файлы; Процессы, потоки; Оболочка; Адресное пространство
- •152. Язык JavaScript. Назначение. Способ использования
140. Управление открытыми ключами (cертификаты, стандарт х.509, инфраструктуры систем с открытыми ключами)
В задачи любого центра управления информационной безопасностью всегда входил набор задач по управлению ключами, используемыми различными средствами защиты информации (СЗИ). В этот набор входят выдача, обновление, отмена и распространение ключей.
Асимметричная криптография позволяет обойти проблему распространения секретных ключей, предложив к использованию только N секретных ключей. При этом у каждого пользователя только один секретный ключ и один открытый, полученный по специальному алгоритму из секретного.
Из открытого ключа практически невозможно получить секретный, поэтому открытый ключ можно распространять открытым способом всем участникам взаимодействия. На основании своего закрытого ключа и открытого ключа своего партнера по взаимодействию любой участник может выполнять любые криптографические операции: электронно-цифровую подпись, расчет разделяемого секрета, защиту конфиденциальности и целостности сообщения.
В результате решаются две главные проблемы симметричной криптографии:
• перегруженность количеством ключей — их теперь всего N;
• сложность распространения — их можно распространять открыто.
Однако у этой технологии есть один недостаток — подверженность атаке man-in-the-middle (человек-в-середине), когда атакующий злоумышленник расположен между участниками взаимодействия. В этом случае появляется риск подмены передаваемых открытых ключей.
Инфраструктура управления открытыми ключами PKI (Public Key Infrastructure) позволяет преодолеть этот недостаток и обеспечить эффективную защиту от атаки man-in-the-middle.
Принципы функционирования Инфраструктура
Инфраструктура открытых ключей PKI предназначена для надежного функционирования КИС и позволяет как внутренним, так и внешним пользователям безопасно обмениваться информацией с помощью цепочки доверительных отношений. Инфраструктура открытых ключей основывается на цифровых сертификатах, которые действуют подобно электронным паспортам, связывающим индивидуальный секретный ключ пользователя с его открытым ключом.
Защита от атаки man-in-the-middle
При осуществлении атаки man-in-the-middle атакующий может незаметно заменить передаваемые по открытому каналу открытые ключи законных участников взаимодействия на свой открытый ключ, создать разделяемые секреты с каждым из законных участников и затем перехватывать и расшифровывать все их сообщения.
Эта простая, но результативная атака является расплатой за изящное решение задачи распределения ключей, предложенное асимметричной криптографией.
Проблема подмены открытых ключей успешно решается путем использования сертификатов открытых ключей.
Сертификация открытого ключа — это подтверждение подлинности открытого ключа и хранимой совместно с ним служебной информацией, в частности о принадлежности ключа. Сертификация ключа выполняется путем вычисления ЭЦП сертифицируемого ключа и служебной информации с помощью специального секретного ключа-сертификата, доступного только СА (Центр сертификации). Иными словами, сертификация открытого ключа — это подписывание открытого ключа электронной подписью, вычисленной на секретном ключе СА.
Открытый ключ совместно с сертифицирующей его ЭЦП часто называют сертификатом открытого ключа или просто сертификатом.
СА формирует сертификат открытого ключа пользователя путем заверения цифровой подписью СА определенного набора данных.
В соответствии с форматом Х.509 в этот набор данных включаются:
• период действия открытого ключа, состоящий из двух дат: начала и конца периода;
• номер и серия ключа;
• уникальное имя пользователя;
• информация об открытом ключе пользователя: идентификатор алгоритма, для которого предназначен данный ключ, и собственно открытый ключ;
• ЭЦП и информация, используемая при проведении процедуры проверки ЭЦП (например, идентификатор алгоритма генерации ЭЦП);
• уникальное имя сертификационного центра.
Цифровой сертификат содержит три главные составляющие:
• информацию о пользователе — владельце сертификата;
• открытый ключ пользователя;
• сертифицирующую ЭЦП двух предыдущих составляющих, вычисленную на секретном ключе СА.
Свойства сертификата открытого ключа:
• каждый пользователь, имеющий доступ к открытому ключу СА, может извлечь открытый ключ, включенный в сертификат;
• ни одна сторона, помимо СА, не может изменить сертификат так, чтобы это не было обнаружено (сертификаты нельзя подделать).
Логическая структура и компоненты PKI
Инфраструктура открытых ключей PKI (Public Key Infrastructure) — это набор агентов и правил, предназначенных для управления ключами, политикой безопасности и собственно обменом защищенными сообщениями.
Основные задачи PKI:
• поддержка жизненного цикла цифровых ключей и сертификатов (т. е. генерация ключей, создание и подпись сертификатов, их распределение и пр.);
• регистрация фактов компрометации и публикация «черных» списков отозванных сертификатов;
• поддержка процессов идентификации и аутентификации пользователей таким образом, чтобы сократить, по возможности, время допуска каждого пользователя в систему;
• реализация механизма интеграции (основанного на PKI) существующих приложений и всех компонентов подсистемы безопасности;
• предоставление возможности использования единственного «токена» безопасности, единообразного для всех пользователей и приложений, содержащего все необходимые ключевые компоненты и сертификаты.
Для предоставления удаленного доступа мобильным пользователям центр управления должен допускать подключение компьютеров, IP-адрес которых ему заранее неизвестен. Участники информационного обмена опознаются по их криптографическим сертификатам. Так как криптографический сертификат пользователя является электронным паспортом, он, как и любой паспорт, должен соответствовать определенным стандартам. В криптографии это стандарт Х.509.
Компоненты этой структуры имеют следующее назначение.
Каталог сертификатов — общедоступное хранилище сертификатов пользователей. Доступ к сертификатам производится обычно по стандартизованному протоколу доступа к каталогам LDAP (Lightweight Directory AccessProtocol).
Центр регистрации RA (Registration Authority) — организационная единица, назначение которой — регистрация пользователей системы.
Пользователь — владелец какого-либо сертификата (такой пользователь подлежит регистрации) или любой пользователь, запрашивающий сертификат, хранящийся в каталоге сертификатов.
Центр сертификации СА (Certification Authority) — организационная единица, назначение которой — сертификация открытых ключей пользователей (здесь из открытого ключа получается сертификат формата Х.509) и их опубликование в каталоге сертификатов.
Общая схема работы СА выглядит следующим образом:
• СА генерирует собственные ключи и формирует сертификаты СА, предназначенные для проверки сертификатов пользователей;
• пользователи формируют запросы на сертификацию и доставляют их СА тем или иным способом;
• СА на основе запросов пользователей формирует сертификаты пользователей;
• СА формирует и периодически обновляет списки отмененных сертификатов CRL (Certificate Revocation List);
• сертификаты пользователей, сертификаты СА и списки отмены CRL публикуются СА (рассылаются пользователям либо помещаются в общедоступный справочник).