|
I-BOB. Nazariy qism Ochiq kalitlar infratuilmasi va asosiy vazifalari.
1.1-Ochiq kalitlar infratuzilmasi.
A ochiq kalitli infratuzilma (PKI) bu yaratish, boshqarish, tarqatish, ishlatish, saqlash va bekor qilish uchun zarur bo'lgan rollar, siyosat, apparat, dasturiy ta'minot va protseduralar to'plamidir. Raqamli sertifikatlar va boshqarish ochiq kalitli shifrlash. PKI ning maqsadi - elektron tijorat, internet-bank va maxfiy elektron pochta kabi bir qator tarmoq faoliyati uchun ma'lumotlarning xavfsiz elektron uzatilishini ta'minlash. Bu oddiy parollar etarli bo'lmagan autentifikatsiya qilish usuli bo'lgan va aloqada bo'lgan tomonlarning shaxsini tasdiqlash va uzatilayotgan ma'lumotni tasdiqlash uchun yanada qat'iyroq isbot talab qiladigan faoliyat uchun talab qilinadi.
Bunday hujumlarning oldini olish uchun bitta yondashuv a dan foydalanishni o'z ichiga oladi ochiq kalitli infratuzilma (PKI); raqamli sertifikatlarni yaratish, boshqarish, tarqatish, ishlatish, saqlash va bekor qilish hamda ochiq kalitda shifrlashni boshqarish uchun zarur bo'lgan rollar, siyosat va protseduralar to'plami. Biroq, bu o'z navbatida mumkin bo'lgan zaif tomonlarga ega.
Masalan, sertifikat beruvchi sertifikat beruvchiga kalit egasining shaxsini to'g'ri tekshirganligi, sertifikat berganida ochiq kalitning to'g'riligini ta'minlashi, kompyuter qaroqchiligidan himoyalangan bo'lishi va kelishuvga erishgan bo'lishi kerak. himoyalangan aloqa boshlanishidan oldin barcha ishtirokchilar o'zlarining barcha sertifikatlarini tekshirishlari kerak. Veb-brauzerlarMasalan, PKI provayderlarining "o'z-o'zidan imzolangan shaxsiy guvohnomalari" ning uzoq ro'yxati bilan ta'minlangan - bu tekshiruv uchun ishlatiladi vijdonan sertifikat idorasining, so'ngra ikkinchi bosqichda potentsial kommunikatorlarning sertifikatlari. Sertifikat idoralaridan birortasini soxta ochiq kalit uchun sertifikat berishga qodir bo'lgan tajovuzkor "o'rtada odam" hujumini sertifikat sxemasi umuman ishlatilmagandek osonlikcha uyushtirishi mumkin. Muqobil stsenariyda kamdan-kam muhokama qilinadi hokimiyat serverlariga kirib, uning sertifikatlari va kalitlari do'konini olgan (ommaviy va xususiy) tajovuzkor operatsiyalarni cheksiz ravishda buzishi, maskalashi, parolini ochishi va soxtalashtirishi mumkin.
Nazariy va potentsial muammolariga qaramay, ushbu yondashuv keng qo'llaniladi. Bunga misollar kiradi TLS va uning oldingisi SSL, odatda veb-brauzer operatsiyalari xavfsizligini ta'minlash uchun ishlatiladi (masalan, onlayn-do'konga kredit karta ma'lumotlarini xavfsiz yuborish).
Muayyan kalit juftligining hujumiga qarshilik ko'rsatishdan tashqari, sertifikatlash xavfsizligi ierarxiya ochiq kalit tizimlarini joylashtirishda e'tiborga olish kerak. Ba'zi bir sertifikat idorasi - odatda server kompyuterida ishlaydigan maxsus dastur - raqamli sertifikat ishlab chiqarish orqali maxsus shaxsiy kalitlarga berilgan shaxsiyat uchun kafolat beradi. Ochiq kalit raqamli sertifikatlar odatda bir necha yil davomida amal qiladi, shuning uchun tegishli shaxsiy kalitlar shu vaqt ichida xavfsiz saqlanishi kerak. PKI server ierarxiyasida yuqori darajadagi sertifikat yaratish uchun foydalaniladigan shaxsiy kalit buzilgan yoki tasodifan oshkor qilingan bo'lsa, ""o'rtada hujum"har qanday bo'ysunuvchi guvohnomani to'liq xavfli qilib, qilish mumkin.
Yilda kriptografiya, PKI - bu kelishuv bog'laydi ochiq kalitlar sub'ektlarning tegishli identifikatorlari bilan (odamlar va tashkilotlar kabi). Majburiylik ro'yxatdan o'tish va sertifikatlarni berish jarayoni orqali o'rnatiladi sertifikat markazi (CA). Majburiyatning ishonchlilik darajasiga qarab, bu avtomatlashtirilgan jarayon yoki inson nazorati ostida amalga oshirilishi mumkin.
Haqiqiy va to'g'ri ro'yxatdan o'tishni ta'minlash uchun CA tomonidan topshirilishi mumkin bo'lgan PKI roli a deb nomlanadi ro'yxatga olish organi (RA). Asosan, RA raqamli sertifikatlar uchun so'rovlarni qabul qilish va so'rov o'tkazayotgan tashkilotning autentifikatsiyasi uchun javobgardir.[1] Internet muhandislik bo'yicha maxsus guruh RFC 3647 RAni "Quyidagi funktsiyalardan biri yoki bir nechtasi uchun mas'ul bo'lgan tashkilot: sertifikat talab qiluvchilarni identifikatsiyalash va tasdiqlash, sertifikat talablarini tasdiqlash yoki rad etish, sertifikatlarni bekor qilish yoki to'xtatib qo'yishni boshlash, ba'zi holatlarda abonentlarning so'rovlarini bekor qilish yoki ularning sertifikatlarini to'xtatib turish va obunachilarning sertifikatlarini yangilash yoki qayta ochish bo'yicha so'rovlarini ma'qullash yoki rad etish. RAlar sertifikatlarni imzolamaydilar yoki bermaydilar (ya'ni CAga CA tomonidan ma'lum vazifalar topshiriladi). "Microsoft bo'ysunuvchi CAni RA deb atagan bo'lishi mumkin bo'lsa-da, bu X.509 PKI standartlariga muvofiq noto'g'ri. RA'lar CA-ning imzolash vakolatiga ega emaslar va faqat sertifikatlarni tekshirish va taqdim qilishni boshqaradilar. Shunday qilib, Microsoft PKI misolida, RA funktsiyasi Microsoft Sertifikat xizmatlari veb-saytida yoki Microsoft Enterprise CA-ni va sertifikat siyosatini sertifikat shablonlari orqali amalga oshiradigan va sertifikatlarni ro'yxatdan o'tkazishni boshqaradigan (qo'lda yoki avtomatik ro'yxatdan o'tkazadigan) Active Directory sertifikat xizmatlari orqali ta'minlanadi. Microsoft Standalone CA-larda RA funktsiyasi mavjud emas, chunki CA-ni boshqaradigan barcha protseduralar ma'muriyat va kirish protseduralariga asoslangan bo'lib, ular Active Directory-ga emas, balki CA-ga joylashtirilgan tizim bilan bog'liq. Microsoft bo'lmagan tijorat PKI echimlarining aksariyati mustaqil RA komponentini taklif qiladi.
Tashkilot har bir CA domenida ushbu korxona to'g'risidagi ma'lumotlar asosida noyob tarzda aniqlanishi kerak. Uchinchi tomon tasdiqlash vakolati (VA) ushbu tashkilot ma'lumotlarini CA nomidan taqdim etishi mumkin.
Do'stlaringiz bilan baham: |
