Ольга Полянская - Инфраструктуры открытых ключей

Тут можно читать онлайн Ольга Полянская - Инфраструктуры открытых ключей - бесплатно полную версию книги (целиком) без сокращений. Жанр: Прочая околокомпьтерная литература, издательство Интернет-университет информационных технологий - ИНТУИТ.ру, год 2007. Здесь Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Инфраструктуры открытых ключей
Автор:

Ольга Полянская
Жанр:

Прочая околокомпьтерная литература
Издательство:

Интернет-университет информационных технологий - ИНТУИТ.ру
Год:

2007
Город:

M.
ISBN:

978-5-9556-0081-9
Рейтинг:

3.55/5. Голосов: 111
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Ольга Полянская - Инфраструктуры открытых ключей краткое содержание

Инфраструктуры открытых ключей - описание и краткое содержание, автор Ольга Полянская, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.

Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.

Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)

Инфраструктуры открытых ключей - читать книгу онлайн бесплатно, автор Ольга Полянская

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Проект EEMA PKI Challenge

Европейский Форум по электронному бизнесу (European Forum for Electronic Business - EEMA) с начала января 2001 года выполнял двухлетний проект PKI Challenge (pkiC), который финансировали Европейский Союз и правительство Швеции [211]. К участию в проекте помимо 13 организаций, входящих в состав Форума, были привлечены поставщики PKI-продуктов, пользователи, консультанты, академические институты, поставщики услуг по выпуску и поддержке цифровых сертификатов для выработки решений по обеспечению функциональной совместимости PKI-продуктов. Рекомендации, выработанные в результате реализации проекта, приведены в табл. 15.8.

| Компонент PKI| Рекомендация|

|УЦ | УЦ должен публиковать списки аннулированных сертификатов (САС) в соответствии со стандартом X.509 v2.

В сертификатах должно присутствовать дополнение CRL Distribution Points, где перечислены пункты распространения САС.

Все действия, выполняемые УЦ, должны регистрироваться в контрольных журналах.

Для автоматической регистрации конечных пользователей должен поддерживаться, по крайней мере, протокол Simple CMP

|Репозиторий | Предпочтительно использование репозитория типа X.500, доступ к которому осуществляется по протоколу LDAP.

Поставщикам следует ориентироваться на поддержку LDAP v3.

Необходимо поддерживать следующий минимальный набор компонентов отличительного имени Distinguished Name (DN):

*C (страна);

*L (местонахождение);

*O (организация);

*OU (подразделение организации);

*CN (общее имя);

*DC (компонент домена).

Поставщикам следует реализовать и протестировать дополнения, введенные стандартом RFC 3280, которые содержат информацию о местонахождении удостоверяющих центров Authority Information Access и репозиториев Subject Information Access

|OCSP-респондер | Ответ OCSP-респондера может быть подписан одним из следующих ключей:

1ключом, которым подписан проверяемый сертификат, то есть ключом того УЦ, который выпустил сертификат, подлежащий валидации;

2ключом, выпущенным для OCSP-респондера вместе с соответствующим сертификатом открытого ключа, который имеет в поле дополнения Extended Key Usage параметр OCSP-Signing. Этот сертификат должен быть выпущен тем же УЦ, который издал сертификат, подлежащий валидации;

3ключом, который является действующим внутри локальной конфигурации центра подписания OCSP-ответа для сертификата, подлежащего валидации.

Те поставщики, которые пока не реализовали поддержку OCSP-ответа, должны ориентироваться на второй вариант

|Клиентское ПО | Клиентское ПО конечного субъекта должно иметь возможность:

*генерировать пару ключей для регистрации;

*управлять содержимым локального репозитория, предназначенного для хранения копий сертификатов корневого УЦ, списков САС и сертификатов корреспондентов;

*локально управлять идентификационными данными субъекта, а также предлагать средства дистанционного управления ими через УЦ

|PKI-совместимые приложения | Приложения, использующие PKI, должны:

*работать с файловыми форматами PKCS#10, PKCS#7 и PKCS#11, а также поддерживать либо протокол PKIX-CMP, либо CMC;

*иметь возможность выполнять поиск в каталоге LDAP или любом LDAP-совместимом каталоге;

*понимать дополнения сертификатов, связывающих сертификат с той PKI, которая его поддерживает (т.е. crl Distribution Point, authority Information Access, Subject Information Access)

Таблица 15.8.Рекомендации проекта pkiC Европейского Форума по электронному бизнесу

Поскольку для PKI используется большой и сложный комплекс программных продуктов, которые должны работать в условиях открытого рынка, поставщики сталкиваются с необходимостью поддерживать большое количество различных стандартов. Более того, учитывая некоторое запаздывание в разработке технологии, которое демонстрирует рынок PKI, поставщики также должны обеспечивать совместимость еще и с некоторыми стандартами, которые были заменены или признаны лишними. В связи с этим в рамках проекта был предложен минимальный список стандартов, поддержку которых в целях функциональной совместимости должны обеспечить поставщики PKI-продуктов ( см. табл. 15.9).

|Стандарты PKIX |

RFC 2459/RFC 3280: Internet X.509 Public Key

Infrastructure Certificate and Certificate Revocation

List (CRL) Profile

RFC 2510: Internet X.509 Public Key Infrastructure

Certificate Management Protocols

RFC 2511: Internet X.509 Certificate Request Message

Format

RFC 2511 bis Internet X.509 Certificate Request

Message Format

RFC 2797: Certificate Management Messages over

CMS

RFC 2559: Internet X.509 Public Key Infrastructure

Operational Protocols - LDAP v2

RFC 2587: Internet X.509 Public Key Infrastructure

LDAP v2 Schema

RFC 3279: Algorithms and Identifiers for the Internet

X.509 Public Key Infrastructure Certificate and

Certificate Revocation List (CRL) Profile

|Стандарты PKCS |

PKCS#1: RSA Cryptography Standard

PKCS#7: Cryptographic Message Syntax Standard

PKCS#10: Certification Request Syntax Standard

PKCS#11: Cryptographic Token Interface Standard

PKCS#12: Personal Information Exchange Syntax

Standard

PKCS#15: Cryptographic Token Information Format

Standard

|Дополнительные стандарты |

RFC 1777: Lightweight Directory Access Protocol

RFC 1823: The LDAP Application Program Interface

RFC 2251: Lightweight Directory Access Protocol (v3)

RFC 2252: Lightweight Directory Access Protocol

(v3): Attribute definition

RFC 2253: Lightweight Directory Access Protocol (v3):

UTF-8 String Representation of Distinguished Names

RFC 2254: Lightweight Directory Access Protocol (v3)

The String Representation of LDAP Search Filters

RFC 2255: Lightweight Directory Access Protocol (v3)

The LDAP URL Format

RFC 3369: S/MIME Cryptographic Message Syntax

|Проекты стандартов |

Draft RFC2510 bis: Internet X.509 Public Key

Infrastructure Certificate Management Protocols

Draft: Internet X.509 Public Key Infrastructure LDAP

v2 Schema for X.509 CRLs

Draft: Internet X.509 Public Key Infrastructure LDAP

v2 Schema for X.509 Attribute Certificates

Draft: LDAP v3 DN strings for use with PKIs

Таблица 15.9.Рекомендуемый список поддерживаемых стандартов

Следует отметить, что этот проект, как и все перечисленные выше, был в значительной степени ориентирован на техническое тестирование и проверку совместимости программного обеспечения . Однако развертывание PKI связано не только с техническими, но и с правовыми и человеческими аспектами, от которых также может зависеть совместимость инфраструктур открытых ключей .

Лекция 16. Сервисы, базирующиеся на PKI

Рассматриваются дополнительные сервисы PKI, приводится характеристика сервисов защищенной связи, защищенного датирования нотаризации, неотказуемости, защищенного архива данных, управления полномочиями, приватности; обсуждаются механизмы, необходимые для сервисов, которые базируются на PKI, и условия функционирования этих сервисов.