Введение:
Как бы ни была сложна и надежна сама криптосистема, она основана на использовании ключей. Если для обеспечения конфиденциального обмена информацией между двумя пользователями процесс обмена ключами тривиален, то в информационной системе, где количество пользователей составляет сотни и тысячи, управление ключами - серьезная проблема.
Под ключевой информацией понимается совокупность всех действующих в ИС ключей. Если не обеспечено достаточно надежное управление ключевой информацией, то, завладев ею, злоумышленник получает неограниченный доступ ко всей информации.
Управление ключами это информационный процесс, включающий в себя три элемента:
1. генерация
2. накопление
3. распределение
Как известно, на практике применяется две основных схемы шифрования с ключами: симметричная (с открытыми ключами) и ассиметричная (с закрытым ключом). В зависимости от используемой схемы различаются и процессы управления криптографии.
Глава 3:
Основными компонентами эффективной PKI являются:
1. удостоверяющий центр;
2. регистрационный центр;
3. реестр сертификатов;
4. архив сертификатов;
5. пользователи.
В составе PKI должны функционировать подсистемы аннулирования сертификатов, создания резервных копий и восстановления ключей, поддержки невозможности отказа от цифровых подписей, автоматической корректировки пар ключей и сертификатов, управления «историей» ключей и поддержки взаимной сертификации, прикладное программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом.
Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для определения связи с секретным ключом. Все пользователи PKI должны иметь зарегистрированное удостоверение, признаваемое сообществом пользователей законным и надежным. Эти удостоверения хранятся в цифровом формате, известном как сертификат с открытым ключом. Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с его владельцем. Для заверения электронного сертификата используется электронная цифровая подпись удостоверяющего центра (УЦ), в этом смысле удостоверяющий центр уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.
Удостоверяющий центр (УЦ) объединяет людей, процессы, программные и аппаратные средства, вовлеченные в безопасное привязывание имен пользователей к их открытым ключам. УЦ известен пользователям по двум атрибутам: названию и открытому ключу. УЦ включает свое имя в каждый выпущенный им сертификат и список аннулированных сертификатов (САС) и подписывает их при помощи собственного секретного ключа. Пользователи могут легко идентифицировать сертификаты по имени УЦ и убедиться в их подлинности, используя его открытый ключ.
УЦ выполняет следующие основные функции:
1. формирует собственный секретный ключ и самоподписанный сертификат;
2. выпускает сертификаты подчиненных удостоверяющих центров и сертификаты открытых ключей пользователей;
3. ведет базу всех изданных сертификатов и формирует список аннулированных сертификатов с регулярностью, определенной регламентом;
4. публикует информацию о статусе сертификатов и САС.
Выпуская сертификат открытого ключа, УЦ тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу. Включая в сертификат дополнительную информацию, УЦ подтверждает ее принадлежность этому субъекту.
УЦ выполняет адекватную защиту своего секретного ключа и открыто публикует свою политику, чтобы пользователи могли убедиться в соответствии ей сертификатов. Ознакомившись с политикой применения сертификатов и решив, что доверяют УЦ и его деловым операциям, пользователи могут полагаться на сертификаты, выпущенные этим центром. Таким образом, в PKI удостоверяющие центры выступают как доверенная третья сторона.
Регистрационный центр (РЦ) является необязательным компонентом PKI. Обычно РЦ получает уполномочия от удостоверяющего центра регистрировать пользователей, обеспечивать их взаимодействие с УЦ и проверять информацию, которая заносится в сертификат. УЦ может работать с несколькими РЦ, в этом случае он поддерживает список аккредитованных РЦ, то есть тех, которые признаны надежными.
Реестр сертификатов - специальный объект PKI, база данных, где хранятся действующие сертификаты и списки аннулированных сертификатов. Реестр предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и списков аннулированных сертификатов, управляет внесениями изменений в сертификаты. К реестру предъявляются следующие требования:
Заключение:
Управление ключами играет важнейшую роль в криптографии как основа для обеспечения конфиденциальности обмена информацией, идентификации и целостности данных.
Целью управления ключами является нейтрализация таких угроз, как:
1. Компрометация конфиденциальности закрытых ключей;
2. Компрометация аутентичности закрытых или открытых ключей.
3. Несанкционированное использование закрытых или открытых ключей.
Управление ключами обычно осуществляется в контексте определенной политики безопасности. Политика безопасности прямо или косвенно определяет те угрозы, которым должна противостоять система. Кроме того, она определяет: правила и процедуры, которыми необходимо руководствоваться и которые необходимо выполнять в процессе автоматического или ручного управления ключами, ответственность и подотчетность всех субъектов, участвующих в управлении, а также все виды записей, которые должны сохраняться для подготовки необходимых сообщений и проведения проверки действий, связанных с безопасностью ключей.