Ольга Полянская - Инфраструктуры открытых ключей

Репозиторий- специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов (термин " реестр сертификатов ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:

*простота и стандартность доступа;

*регулярность обновления информации;

*встроенная защищенность;

*простота управления;

*совместимость с другими хранилищами (необязательное требование).

Репозиторий обычно размещается на сервере каталогов , организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) [154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

На архив сертификатоввозлагается функция долговременного хранения (от имени УЦ ) и защиты информации обо всех изданных сертификатах. Архив поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения. Информация, предоставляемая УЦ архиву , должна быть достаточной для определения статуса сертификатов и их издателя. Архив должен быть защищен соответствующими техническими средствами и процедурами.

Конечные субъекты, или пользователи, PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов. Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.

Система PKI, помимо выполнения целого ряда функций - выпуска сертификатов, генерации ключей, управления безопасностью, аутентификации, восстановления данных, - должна обеспечивать интеграцию с внешними системами. PKI необходимо взаимодействовать с множеством самых разных систем и приложений - это и программное обеспечение групповой работы, и электронная почта, и системы управления доступом, и каталоги пользователей, и виртуальные частные сети, и разнообразные операционные системы, и службы безопасности, и web-приложения, и широкий спектр корпоративных систем [10]. Рис. 3.2иллюстрирует взаимодействие пользователей с серверами PKI.

Функциональные компоненты PKI ( УЦ , РЦ и др.) могут быть реализованы программно и аппаратно различными способами, например, располагаться на одном или нескольких серверах. Системы, выполняющие функции удостоверяющего и регистрационного центров , часто называют серверами сертификатови регистрации соответственно.

Основными серверными компонентами PKI являются сервер сертификатов , сервер каталогов и сервер восстановления ключей , опциональными компонентами - сервер регистрации, OCSP-сервер, обслуживающий запросы пользователей по онлайновому протоколу статуса сертификата Online Certificate Status Protocol (более подробно об этом см. лекцию 12), и сервер проставления меток времени.

На сервер сертификатоввозлагаются функции выпуска и управления сертификатами, защищенного хранения секретного ключа удостоверяющего центра , поддержки жизненного цикла сертификатов и ключей, восстановления данных, ведения контрольного журнала и регистрации всех операций удостоверяющего центра .

Сервер каталоговсодержит информацию о сертификатах и атрибутах субъектов сертификатов открытых ключей . Через протокол LDAP приложения стандартным образом обращаются к записям каталогов, например, к адресам электронной почты, номерам телефонов, полномочиям и сертификатам пользователей.

Рис. 3.2. Взаимодействие пользователей с серверами PKI

Сервер каталогов должен обеспечивать:

*сетевую аутентификацию через IP-адреса или DNS-имена и аутентификацию конечных субъектов по именам и паролям или по сертификатам открытых ключей ;

*управление доступом субъектов к информации в зависимости от их прав на выполнение операций чтения, записи, уничтожения, поиска или сравнения;

*конфиденциальность (посредством протокола SSL) и целостность сообщений для всех видов связи [56].

Сервер восстановления ключейподдерживает создание резервных копий и восстановление ключей шифрования конечных субъектов . Среди всех компонентов PKI сервер восстановления ключей должен быть наиболее защищен и обеспечивать сильную аутентификацию администратора и пользователей, поддержку конфиденциальности и целостности сообщений, безопасное хранение всех компонентов ключей.

PKI управляет ключами и сертификатами, используемыми для реализации криптографических операций в web-браузерах, web-серверах, приложениях электронной почты, электронного обмена сообщениями и данными, в приложениях, поддерживающих защищенные сетевые транзакции и сеансы связи через World Wide Web или в виртуальных частных сетях на базе протоколов S/MIME, SSL и IPsec, а также для заверения цифровой подписью электронных документов или программного кода [82]. Наряду с перечисленными выше приложениями, PKI-совместимыми могут быть и корпоративные приложения, разработанные внутри организации.

Приложения электронной почты и обмена сообщениями используют пары ключей для шифрования сообщений и файлов и заверения их цифровыми подписями. Системы электронного обмена данными поддерживают транзакции, требующие аутентификации сторон, обеспечения конфиденциальности и целостности данных. Браузеры и web-серверы используют шифрование для аутентификации, обеспечения конфиденциальности, а также в приложениях электронной коммерции и онлайнового предоставления банковских услуг. Шифрование и аутентификация применяются также для создания виртуальных частных сетей(Virtual Private Networks - VPN) на основе сетей общего пользования, для защиты коммуникаций между сайтами или удаленного доступа (клиент-сервер). Заверение цифровой подписью программных кодов и файлов дает возможность пользователям подтвердить источник получаемых по Интернету программ и файлов и целостность их содержания, это важно и для контроля вирусного заражения.