Национальный исследовательский ядерный университет «МИФИ»
Опубликован: 15.11.2006 | Доступ: свободный | Студентов: 2230 / 430 | Оценка: 4.33 / 3.99 | Длительность: 29:21:00
ISBN: 978-5-9556-0081-9
Лекция 16:

Сервисы, базирующиеся на PKI

< Лекция 15 || Лекция 16: 12345 || Лекция 17 >
Аннотация: Рассматриваются дополнительные сервисы PKI, приводится характеристика сервисов защищенной связи, защищенного датирования нотаризации, неотказуемости, защищенного архива данных, управления полномочиями, приватности; обсуждаются механизмы, необходимые для сервисов, которые базируются на PKI, и условия функционирования этих сервисов.
Ключевые слова: PKI, аутентификация, целостность, конфиденциальность, нотаризация, аутентичность, IKE, почта, ПО, метки времени, доверенный центр датирования, значение, хэш-код, ключ, сервер, вывод, валидность, корректность, электронный документ, пользователь, отрицание, неотказуемость источника, неотказуемость получения, архив, информация, доказательство, максимум, аутентификация источника данных, авторизация, контроль, политика полномочий, деловая активность, доступ, центр авторизации, связь, права, делегирование полномочий, место, надежность, однократная регистрация, приватность, анонимные сертификаты, сертификаты пользователей, знание, сценарий, псевдоним, сайт, токен, указатель, пароль, сильная аутентификация, регистрация, альтернативные, механизмы, функция кода, инфраструктура управления полномочиями, архитектура приватности, криптографическая хэш-функция, блочный шифр, закрытая среда, субъект доступа, язык спецификаций, vendor, DCE, distributed computing, SAML, атрибутный сертификат, устойчивость к отказам, сервис аутентификации, выпуск сертификатов, идентичность субъекта, доставка точного времени, NTP, подделка сообщений, протокол безопасности транспортного уровня, GSS-API, mechanical

Сервисы, базирующиеся на PKI

В предыдущей главе обсуждались главные сервисы безопасности, предлагаемые PKI: аутентификация, целостность и конфиденциальность. Настоящая глава посвящена сервисам, которые не являются фундаментальными сервисами любой PKI, но могут быть построены на базе PKI. К дополнительным, базирующимся на PKI сервисам относятся:

  • защищенная связь;
  • защищенное датирование;
  • нотаризация ;
  • неотказуемость;
  • защищенный архив данных;
  • управление полномочиями;
  • приватность [44].

Защищенная связь

При передаче данных от отправителя к получателю обеспечивается защищенная связь, если соблюдается одно или более требований безопасности: аутентичность, целостность и конфиденциальность. Сервис защищенной связи строится на основе главных сервисов PKI в комплексе с традиционными сетевыми и коммуникационными протоколами. В качестве примеров защищенной связи можно привести:

  • защищенную электронную почту, использующую протоколы S/MIME v2 [169] и S/MIME v3 [158], [159];
  • защищенный доступ к web-серверу на базе протокола TLS [142];
  • защищенную виртуальную частную сеть, использующую протоколы IPSec [143] и IKE [147].

Для шифрования и подписания почтовых сообщений, наряду с главными сервисами PKI, может быть реализована защищенная электронная почта в качестве сервиса, базирующегося на PKI. Это позволяет передавать сообщения по открытым сетям без риска компрометации их аутентичности, целостности и конфиденциальности. Более подробно защищенная электронная почта и другие приложения защищенной связи рассматриваются в ( "Приложения, базирующиеся на PKI" ), которая посвящена приложениям, базирующимся на PKI.

Защищенное проставление меток времени

Защищенное датирование, или проставление меток времени , заключается в связывании доверенным центром датирования метки времени с определенной "порцией" данных при сохранении их аутентичности и целостности. Причем, важным является не столько само значение времени, сколько защищенность связывания данных с определенным временем (датой). В частности, в некоторых приложениях бывает важно зафиксировать не время совершения события, а последовательность событий, например, поступление в доверенный центр данного документа Y перед документом Z, но после документа X.

Доверенный центр датирования не является строго необходимым компонентом этого сервиса. Любой субъект может поддерживать надежное время в своей локальной среде и в случае необходимости связывать метки времени со своими собственными данными. На практике, однако, трудно поддерживать надежное время для локальных сред (например, настольных систем) многих пользователей, поэтому прибегают к помощи доверенных центров датирования, которые обрабатывают запросы субъектов на проставление меток времени.

Защищенный сервис датирования базируется на главных сервисах PKI: аутентификации и целостности. Метка времени на документе образуется в результате подписания цифровым образом комбинации хэш-кода самого документа и значения времени в некотором формате. Подпись доверенного центра датирования обеспечивает аутентичность и целостность данных. Для того чтобы эта схема работала, все субъекты PKI должны знать и доверять открытому ключу подписи центра датирования, при помощи которого можно проверить подпись на метке времени. Если такой ключ становится ненадежным (например, в результате компрометации секретного ключа подписи центра датирования), необходимо, чтобы все субъекты PKI были проинформированы об этом, и для центра датирования был выпущен новый надежный ключ. Все метки времени, заверенные ненадежным ключом, не следует считать валидными.

Ключевым моментом поддержки сервиса неотказуемости является защищенное проставление меток времени, которое характеризуется надежностью источника времени и защищенностью передачи значения времени. В PKI должен существовать надежный источник времени, которому доверяют все субъекты. Функции надежного источника времени выполняет защищенный сервер проставления меток времени, сертификат которого может быть проверен любым субъектом PKI. Этот сервер может использоваться не только для поддержки сервиса неотказуемости, но и в других случаях, когда необходимо надежное датирование.

Нотаризация

Существуют разные трактовки термина нотаризация, но в данном контексте считается, что базирующийся на PKI сервис нотаризации предназначен для сертификации данных, то есть подтверждения их валидности или корректности. Вывод о корректности данных зависит от их типа, например, если данные, подлежащие сертификации, являются цифровой подписью, то нотаризация подтверждает валидность подписи при выполнении следующих условий:

  • математической корректности результата верификации подписи при помощи соответствующего открытого ключа;
  • правильного связывания открытого ключа подписи с субъектом, который подписывает данное значение;
  • доступности и надежности всех других данных, необходимых для процесса валидации (например, дополнительных сертификатов для формирования полного пути).

Нотариус PKI - это субъект, которому некоторое сообщество других субъектов PKI доверяет выполнять должным образом сервис нотаризации. Он подтверждает корректность данных своей цифровой подписью, поэтому другим субъектам PKI для верификации подписи необходима доверенная копия открытого ключа нотариуса. Сервис нотаризации базируется на главном сервисе PKI - аутентификации, а также использует сервис датирования, так как время нотаризации включается в структуру сертификации данных.

< Лекция 15 || Лекция 16: 12345 || Лекция 17 >
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

Сергей Халяпин
Сергей Халяпин
Россия, Москва
Алексей Фоминых
Алексей Фоминых
Россия