Книга: Полянская О. Ю., Горбатов В. С. «Инфраструктуры открытых ключей»

Серия: "Основы информационных технологий"

В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure — PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях. Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.

Содержание:

Лекция 1. Доверие в сфере электронных коммуникаций...... 15 Понятие доверия...... 15 Политики доверия...... 17 Конфиденциальность...... 18 Корректное использование информации...... 18 Реагирование в случае нарушения доверия...... 18 Непрерывность доверия...... 19 Согласие пользователей...... 19 Ассоциации доверия...... 19 Концепция инфраструктуры безопасности...... 21 Уровни инфраструктуры...... 22 Цель и сервисы инфраструктуры безопасности...... 24 Защищенная регистрация...... 25 Защищенная однократная регистрация...... 26 Прозрачность для конечных пользователей...... 27 Комплексная безопасность...... 28 Лекция 2. Механизмы аутентификации...... 30 Эволюция механизмов аутентификации...... 30 Аутентификация на основе паролей...... 31 Механизмы одноразовой аутентификации...... 33 Аутентификация «запрос-ответ»...... 33 Неявный запрос на базе времени...... 34 Аутентификация с использованием хэш-функции...... 35 Аутентификация Kerberos...... 37 Получение пользователем билета TGT на билеты...... 39 Получение пользователем билета на доступ к серверу...... 39 Аутентификация пользователя сервером...... 40 Аутентификация сервера пользователем...... 40 Инициализация открытых ключей Kerberos...... 41 Аутентификация при помощи сертификатов...... 42 Возможности PKI...... 44 Лекция 3. Основные компоненты и сервисы PKI...... 46 Основные компоненты PKI...... 46 Удостоверяющий центр...... 47 Регистрационный центр...... 49 Репозиторий сертификатов...... 50 Архив сертификатов...... 50 Конечные субъекты...... 50 Физическая топология...... 51 Серверные компоненты PKI...... 51 Клиентское программное обеспечение...... 53 Сервисы PKI...... 54 Криптографические сервисы...... 54 Сервисы управления сертификатами...... 55 Вспомогательные сервисы...... 57 Сервисы, базирующиеся на PKI...... 60 Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы...... 62 Сервисы безопасности PKI...... 62 Идентификация и аутентификация...... 63 Целостность...... 66 Конфиденциальность...... 67 Базовые криптографические механизмы сервисов безопасности PKI...... 67 Симметричные алгоритмы...... 68 Алгоритмы хэширования...... 69 Асимметричные алгоритмы...... 71 Сравнение криптографических механизмов безопасности...... 72 Лекция 5. Модели и механизмы доверия...... 74 Концепция доверия в PKI...... 74 Именование субъектов...... 75 Модель строгой иерархии удостоверяющих центров...... 77 Нестрогая иерархия удостоверяющих центров...... 79 Иерархии на основе политик...... 80 Модель распределенного доверия...... 80 Сетевая конфигурация...... 82 Мостовая конфигурация (конфигурация hub-and-spoke)...... 82 Четырехсторонняя модель доверия...... 83 Web-модель...... 84 Модель доверия, сконцентрированного вокруг пользователя...... 86 Кросс-сертификация...... 87 Лекция 6. Сертификаты открытых ключей...... 91 Формат сертификатов открытых ключей X. 509...... 91 Дополнения сертификата...... 96 Альтернативные форматы сертификатов...... 100 Сертификаты SPKI...... 100 Сертификаты PGP...... 102 Сертификаты SET...... 104 Атрибутные сертификаты...... 107 Лекция 7. Классификация сертификатов и управление ими...... 109 Классы сертификатов...... 109 Сертификаты конечных субъектов...... 110 Сертификаты удостоверяющих центров...... 112 Самоподписанные сертификаты...... 114 Использование субъектом нескольких сертификатов...... 117 Пары ключей одного субъекта...... 117 Взаимосвязи сертификатов и пар ключей...... 119 Управление несколькими парами ключей...... 120 Жизненный цикл сертификатов и ключей...... 122 Примерные сценарии управления жизненным циклом сертификатов и ключей...... 124 Лекция 8. Формат списков аннулированных сертификатов...... 127 Списки аннулированных сертификатов...... 127 Формат списка аннулированных сертификатов...... 129 Дополнения САС...... 131 Дополнения точек входа в САС...... 136 Частные дополнения...... 138 Лекция 9. Типы списков аннулированных сертификатов и схемы аннулирования...... 139 Полные списки САС...... 139 Пункты распространения САС...... 141 Переадресующие списки САС...... 142 Дельта-списки и косвенные дельта-списки САС...... 143 Косвенные списки САС...... 145 Деревья аннулирования сертификатов...... 145 Механизмы онлайновых запросов...... 147 Онлайновый протокол статуса сертификата...... 148 Простой протокол валидации сертификатов...... 149 Другие режимы аннулирования...... 150 Сравнительная характеристика разных схем аннулирования...... 151 Лекция 10. Основные понятия и типы архитектуры PKI...... 154 Основные понятия архитектуры PKI...... 154 Построение пути сертификации...... 155 Простая архитектура PKI...... 157 Одиночный УЦ...... 157 Построение пути в простой PKI...... 158 Простые списки доверия...... 158 Архитектура корпоративной PKI...... 160 Иерархическая PKI...... 160 Построение пути в иерархической PKI...... 162 Сетевая PKI...... 163 Построение пути в сетевой PKI...... 165 Гибридная архитектура PKI...... 166 Архитектура расширенного списка доверия...... 167 Построение пути для расширенного списка доверия...... 168 Кросс-сертифицированные корпоративные PKI...... 169 Построение пути для кросс-сертификацированных PKI...... 170 Архитектура мостового УЦ...... 172 Построение пути в мостовой PKI...... 174 Лекция 11. Валидация пути сертификации...... 176 Процедура проверки валидности пути...... 176 Инициализация...... 178 Базовый контроль сертификата...... 179 Подготовка следующего сертификата...... 180 Завершение обработки сертификата...... 182 Выявление в пути сертификации аннулированных сертификатов...... 183 Обработка САС...... 184 Завершение...... 185 Выбор архитектуры PKI...... 186 Лекция 12. Механизмы распространения информации PKI...... 189 Частное распространение информации PKI...... 189 Публикация и репозитории...... 190 Особенности использования корпоративного репозитория...... 192 Варианты развертывания междоменного репозитория...... 195 Общий репозиторий...... 195 Междоменная репликация...... 195 Пограничный репозиторий...... 196 Организация репозитория и протоколы доступа к нему...... 198 Каталоги...... 198 Каталог X. 500...... 200 Упрощенный протокол доступа к каталогу LDAP...... 202 FTP...... 203 HTTP...... 204 Электронная почта...... 205 Поддержка системы доменных имен...... 205 Рекомендации по выбору типа репозитория...... 206 Лекция 13. Политики, регламент и процедуры PKI...... 208 Политика безопасности и способы ее реализации...... 208 Политика применения сертификатов...... 211 Регламент удостоверяющего центра...... 213 Идентификаторы объектов...... 216 Отображение политики в сертификатах...... 217 Краткая характеристика политики PKI...... 220 Лекция 14. Описание политики PKI...... 223 Набор положений политики PKI...... 223 Общие положения...... 223 Специальные разделы...... 226 Трудности разработки политики и регламента...... 233 Этапы разработки политики применения сертификатов...... 234 Лекция 15. Стандарты и спецификации PKI...... 238 Стандарты в области PKI...... 238 Стандарты Internet X. 509 PKI (PKIX)...... 246 Терминология и концепции PKIX...... 246 Направления стандартизации...... 251 Роль стандартов, профилей и тестирования функциональной совместимости...... 253 Инициативы по обеспечению функциональной совместимости PKI-продуктов...... 255 Национальные инициативы...... 255 Международные инициативы...... 258 Лекция 16. Сервисы, базирующиеся на PKI...... 262 Сервисы, базирующиеся на PKI...... 262 Защищенная связь...... 262 Защищенное проставление меток времени...... 263 Нотаризация...... 264 Неотказуемость...... 264 Управление полномочиями...... 267 Приватность...... 268 Механизмы, которые необходимы для сервисов, базирующихся на PKI...... 270 Надежные источники времени...... 270 Механизмы создания и обработки политики полномочий...... 271 Механизмы инфраструктуры управления полномочиями...... 272 Архитектура приватности...... 273 Условия функционирования сервисов, базирующихся на PKI...... 273 Механизм доставки точного времени...... 273 Защищенные протоколы...... 273 Резервные серверы...... 274 Физически защищенный архив...... 274 Сертификаты приватности и отображение идентичности...... 274 Обстоятельства реальной жизни...... 275 Лекция 17. Приложения, базирующиеся на PKI...... 276 Защищенная электронная почта S/MIME...... 276 Поддержка защищенной электронной почты на основе PKI...... 278 Средства безопасности транспортного уровня...... 279 Протокол установления соединений...... 280 Протокол передачи записей...... 282 Поддержка безопасности транспортного уровня на основе PKI...... 282 Средства безопасности IP-уровня...... 283 Контексты безопасности...... 284 Протокол аутентифицирующего заголовка AH...... 286 Протокол инкапсулирующей защиты содержимого ESP...... 287 Протокол обмена ключами IKE...... 289 Поддержка безопасности IP-уровня на основе PKI...... 289 Типовые сценарии использования PKI...... 290 Лекция 18. Подготовка к развертыванию PKI...... 294 Предварительный этап развертывания PKI...... 294 Подготовка принятия решения о развертывании...... 294 Принятие решения о варианте развертывания...... 296 Определение масштаба и сферы применения PKI...... 302 Важные характеристики решения...... 305 Анализ данных и приложений...... 308 Лекция 19. Проблемы выбора поставщика технологии или сервисов PKI...... 309 Определение критериев выбора поставщика технологии или сервисов PKI...... 309 Финансовые возможности поставщика...... 310 Масштабируемость решения...... 310 Безопасность...... 312 Надежность операционной работы УЦ...... 312 Техническая поддержка...... 313 Помощь консультантов...... 314 Анализ возможностей поставщика...... 315 Краткая характеристика...... 315 Введение...... 315 Область применения проекта...... 316 Управление проектом...... 316 Архитектура безопасности...... 317 Политика безопасности...... 317 Стандарты и руководства по проектированию безопасности...... 318 Операционная работа УЦ...... 318 Аудит...... 319 Обучение персонала...... 319 Требования к консультантам...... 319 Информация о реализованных поставщиком проектах...... 320 Лекция 20. Проектирование и внедрение PKI...... 321 Проектирование...... 321 Формирование правовой политики PKI...... 321 Модель доверия и архитектура PKI...... 325 Выбор программного продукта или поставщика сервисов PKI...... 326 Выбор основных средств и оборудования...... 327 Выбор персонала для обслуживания PKI...... 329 Завершение этапа проектирования...... 332 Создание прототипа, пилотный проект и внедрение...... 333 Создание прототипа...... 333 Пилотный проект...... 333 Внедрение...... 334 Лекция 21. Проблемы реализации PKI...... 336 Проблемы реализации...... 336 Подготовка системы PKI к работе...... 336 Управление сертификатами и ключами...... 338 Реагирование на инциденты во время функционирования PKI...... 342 Проблемы интеграции PKI...... 347 Интеграция с приложениями...... 348 Интеграция с данными третьей стороны...... 349 Интеграция с системами более сильной аутентификации...... 349 Интеграция с существующими системами...... 350 Интеграция с интерфейсом пользователя...... 350 Проблемы функциональной совместимости продуктов разных поставщиков...... 350 Анализ реальных возможностей функциональной совместимости...... 351 Проблемы репозитория...... 352 Проблемы оценивания стоимости PKI...... 353 Литература...... 358

Издательство: "Интернет-Университет Информационных Технологий" (2007)

ISBN: 9785955600819