Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- Город:M.
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
| Документ| Формулировка|
| ППС | Физический доступ к аппаратному обеспечению УЦ разрешен только лицам, ответственным за техническую поддержку системы |
| Регламент | Для гарантирования физической безопасности аппаратного обеспечения УЦ должны соблюдаться следующие меры контроля: вход в помещение, где размещается аппаратура УЦ, - только по два человека; контроль доступа в помещение - биометрический; наблюдение за помещением - 24 часа в сутки 7 дней в неделю (по системе 24/7) |
|Организационные процедуры | Аппаратное обеспечение УЦ размещается в помещении с IT-блокировкой на … этаже офиса … на улице …. Дверь защищается замком и устройством биометрической аутентификации. Ключи раздаются лицам, перечисленным в списке (приложение А ), биометрические профили создаются только для этих лиц. Камеры на северной стене над входом в помещение и на западной стене за огнетушителем выполняют наблюдение под управлением пульта безопасности 24 часа в сутки 7 дней в неделю |
Таблица 13.1.Сравнительная характеристика формулировок документов, описывающих одно положение политики PKI
Идентификаторы объектов
При принятии решения об использовании данного сертификата для конкретной цели и доверии к нему пользователь может ориентироваться на указатель ППС в сертификате формата X.509 версии 3. Таким указателем, характеризующим политику применения сертификатов , является уникальный зарегистрированный идентификатор объекта Object Identifier . Идентификаторы объектов - это один из простых типов данных, определяемых абстрактной синтаксической нотацией ASN.1. Идентификатор объекта задается последовательностью целочисленных компонентов (например, 1.3.6.1.4.1.6943 ), которая уникально идентифицирует объект (алгоритм, тип атрибута и т.п.) или центр регистрации идентификаторов .
Регистрация идентификаторов объектов выполняется в соответствии с процедурами, определенными стандартами Международной организации стандартизации (ISO), Международной электротехнической комиссии (IEC) и Международным союзом по телекоммуникациям (ITU). Сторона, регистрирующая Object Identifier , публикует текстовую спецификацию ППС для ознакомления с ней пользователей сертификатов. Каждый УЦ аккредитуется с учетом заявленных им политик, которые считаются базовыми. Перечень заявленных политик указывается в сертификате этого центра. Существует система международных, национальных и корпоративных центров регистрации. Во многих странах национальные организации стандартизации поддерживают регистр идентификаторов объектов . Центры регистрации идентификаторов создают иерархию идентификаторов объектов и гарантируют уникальность каждого идентификатора в общей системе. Каждый центр определяет смысл значений Object Identifier данной последовательности компонентов и несет ответственность за все последовательности компонентов, начиная с данной последовательности [2]. Центр может делегировать полномочия другому подчиненному центру регистрации идентификаторов .
Идентификаторы объектов часто применяют в сертификатах X.509 для:
*отображения криптографических алгоритмов (например, алгоритм SHA-1 с RSA имеет идентификатор 1.2.840.113549.1.1.5.);
*задания атрибута имени в отличительном имени субъекта;
*идентификации политик применения сертификатов ;
*указания расширенного назначения ключа;
*задания дополнений сертификатов и списков САС.
Модель доверия стандарта X.509 предполагает анализ идентификаторов ППС при обработке пути сертификации.
| Object Identifier 1.2.643.3.15.1| Политика применения сертификатов ЗАО "Цифровая подпись"|
|1.2.643.3.15.1.1 | Общее использование в PKI без права заверения финансовых документов |
|1.2.643.3.15.1.2 | Оформление соглашений, договоров |
|1.2.643.3.15.1.3 | Организация внутрикорпоративного документооборота |
|1.2.643.3.15.1.5 | Закрепление авторских прав |
|1.2.643.3.15.1.7 | Использование в системах электронной коммерции |
Таблица 13.2.Примеры идентификаторов политик применения сертификата
PKI всегда должна поддерживать известные идентификаторы объектов . Программные продукты для PKI умеют распознавать и автоматически обрабатывать эту информацию. Однако развертывание новой PKI требует формирования, по крайней мере, одного нового идентификатора политики. Вообще говоря, корпоративная PKI может поддерживать 4-5 разных политик применения сертификатов . Иногда новые идентификаторы требуются для задания узкоспециальных дополнений сертификатов и списков САС. Идентификаторы объектов , определенные для удовлетворения этих локальных требований одной PKI, часто называются частными идентификаторами объектов, поскольку они принадлежат конкретной компании или организации (в табл. 13.2приведены некоторые идентификаторы политик УЦ ЗАО "Цифровая подпись" [27]).
Отображение политики в сертификатах
Конечно, большинство пользователей не изучают непосредственно ППС и регламент, а получают информацию о политиках PKI косвенно, из таких дополнений сертификатов, как Certificate Policies , Policy Mappings и Policy Constraints , характеризующих соответственно политики применения сертификатов , соответствие политик разных доменов PKI и ограничения на политики. Каждый идентификатор объекта (в данном случае в качестве объекта выступает политика), указанный в дополнении сертификата, соответствует одной ППС . При разработке ППС ей присваивается уникальный идентификатор объекта . В рамках присвоенного идентификатора допускается лишь незначительное изменение политики. Процедура изменения и способ получения последней информации о ППС содержится в самой политике. Регламенты привязываются к идентификаторам политики через ППС , которую они реализуют. ППС может быть реализована в нескольких регламентах, а один регламент может удовлетворять требованиям нескольких политик.
Рис. 13.1. Реализация одной политики тремя центрами
Пример 13.2. Рассмотрим связи между ППС и регламентами трех разных удостоверяющих центров одной корпоративной PKI, которые выпускают сертификаты в соответствии с одной политикой ( рис. 13.1). Каждый УЦ выпускает свои сертификаты согласно политике компании "Альфа" (P Альфа). Все эти сертификаты содержат один и тот же идентификатор политики в дополнении Certificate Policies . Но каждый УЦ имеет свой собственный регламент, который описывает механизмы и процедуры безопасности, характерные именно для этого центра.
Читать дальшеИнтервал:
Закладка:
![Ольга Куно - Семь ключей от зазеркалья [litres]](/books/1055864/olga-kuno-sem-klyuchej-ot-zazerkalya-litres.webp)
![Ольга Куно - Семь ключей от зазеркалья [СИ]](/books/1061481/olga-kuno-sem-klyuchej-ot-zazerkalya-si.webp)
