- •Лекция
- •Вопросы:
- •1. Основные процедуры управления
- •Цели управления ключами
- •Политика безопасности, определяющая управление ключами
- •Основная характеристика ключей
- •Ограничение срока действия ключа
- •Жизненный цикл ключей
- •8.Замена ключа. Производится до истечения срока действия.
- •2. Управление ключами в симметричных криптографических системах
- •Модель управления ключами в симметричных криптографических системах
- ••Центр управления связью (ЦУС) создает сеть необходимой структуры, вырабатывает политику безопасности сети, в
- •Управление ключами (key management) - совокупность технологий и процедур, посредством которых устанавливаются и
- •Требования к ключам симметричных криптосистем:
- •Генерирование ключей
- •Биометрические ГСЧ
- •Программные ДСЧ
- •Аппаратный ГСЧ
- •Оценки качества ГСЧ
- •Графические тесты
- •Пример гистограммы распределения элементов последовательности
- •Пример теста распределения на плоскости
- •Станция генерации ключей Гамма-СТ-М»
- •Хранение ключей
- •Способы распределения ключей
- •Определения
- •Способ с использованием ЦРК и доверенных
- •Параметры, характеризующие ключевую структуру:
- •Распределение ключей для симметричных криптосистем с использованием ЦРК в интерактивном режиме
- •Распределение ключей с использованием
- •3. Распределение открытых ключей
- •Распределение открытых ключей с помощью доверителей
- •Распределение открытых ключей с использованием сертификатов
- •Инфраструктура открытых ключей Public Key Infractructure (PKI)
- •Архитектура PKIX
- •Архитектура PKI
- •Структуры данных PKI:
- •Сервисы PKI
- •Формат сертификата открытого ключа по стандарту ITU X.509
- •Пример сертификата
- •Жизненный цикл сертификата
- •Образец сертификата
- •Образец сертификата
- •Примерная политика использования сертификатов
- •Программные средства поддержки PKI
- •Применение сертификатов в Win/XP
Инфраструктура открытых ключей Public Key Infractructure (PKI)
Инфрастуктура открытых ключей - комплексная система, обеспечивающая все необходимые сервисы для использования открытых ключей.
Физически PKI состоит из программ, форматов данных, комму- никационных протоколов, политик и процедур, необходимых для создания, управления, хранения, распространения и аннулирования сертификатов открытых ключей.
PKIX - PKI для формата сертификатов стандарта X.509.
Основные компоненты PKI
-удостоверяющий центр; -регистрационный центр; -реестр сертификатов; -архив сертификатов;
-пользователи. |
43 |
|
Архитектура PKIX
Реестр
сертификатов
Сертифи- каты
Списки
Аннулирован ных сертиф-в
Архив
Конечный пользователь
(End-Entry)
Центр Регистрации
(RA)
Удостоверяющий центр (CA)
Удостоверяющий |
|
центр др.домена |
44 |
Архитектура PKI
Конечный субъект – пользователь, использующий сервисы PKI Удостоверяющий центр – выпускает сертификаты и управляет ими Сертификат открытого ключа – специальная структура данных, содержащее признаки владельца, открытый ключ и их подпись УЦ (Виды сертификатов: серт. пользователей, серт. УЦ, кросс-сертификаты – серт. УЦ других доменов безопасности. Центр регистрации –отвечает за идентификацию субъектов. Репозитарий сертификатов – хранилище, выпущенных в обращени сертификатов и списков аннулированных сертификатов. Метод доступа в репозитарий протокол LDAP v2.
Списки аннулированных сертификатов – включает серийные номера серт., метки времени, подписи УЦ. Выпускается периодически.
Потоколы: RFC 2510(CMP), RFC 2510, RFC 2559 (LDAP), RFC 2585
RFC 2560(OCSP) |
45 |
Структуры данных PKI:
-сертификат открытого ключа; -список аннулированных сертификатов
46
Сервисы PKI
Сервисы управления сертификатами:
-выпуск сертификата; -управление жизненным циклом сертификатов ключей;
-хранение сертификатов и САС в архиве.
Криптографические сервисы: |
|
|
-генерация ключей; |
|
|
-выработка ЭЦП; |
|
|
-верификация (проверка) ЭЦП; |
|
|
-шифрование (расшифрование) данных |
|
|
Вспомогательные сервисы: |
|
|
-регистрация; |
|
|
-создание резервных копий и восстановление ключей; |
|
|
-авторизация; |
47 |
|
-корректировка ключей и управление историями ключей |
||
|
Формат сертификата открытого ключа по стандарту ITU X.509
48
Пример сертификата
49
50
51
Жизненный цикл сертификата
52