Национальный исследовательский ядерный университет «МИФИ»
Опубликован: 15.11.2006 | Доступ: свободный | Студентов: 2230 / 430 | Оценка: 4.33 / 3.99 | Длительность: 29:21:00
ISBN: 978-5-9556-0081-9
Лекция 17:

Приложения, базирующиеся на PKI

Типовые сценарии использования PKI

В лекциях "Основные компоненты и сервисы PKI" , "Сервисы безопасности PKI и базовые криптографические механизмы" и "Модели и механизмы доверия" обсуждалась архитектура, которую можно назвать полнофункциональной PKI (см. табл. 17.2). Были определены компоненты, функции и сервисы инфраструктуры, которая в некотором смысле является совершенной, потому что теоретически удовлетворяет требованиям любой среды. В конкретной среде целесообразно использовать не общее решение, а только те функции, которые необходимы для решения определенного круга проблем.

Полнофункциональная PKI - это идеальное представление возможной инфраструктуры, пока неизвестны PKI-продукты, реализующие все перечисленные в (таблице 17.2) функции. Современные PKI обычно предназначены для решения определенной задачи или ряда задач. Конкретные реализации PKI представляют собой некоторые подмножества полнофункциональной архитектуры.

Таблица 17.2. Полнофункциональная PKI
УЦ Репозиторий Аннулирование сертификатов
Резервное хранение ключей Восстановление ключей Автоматическое обновление ключей
Управление историями ключей Кросс-сертификация Клиентское ПО
Аутентификация Целостность Конфиденциальность
Защищенное датирование Нотаризация Неотказуемость
Защищенный архив данных Разработка полномочий/политики Проверка полномочий/политики

Рассмотрим четыре распространенных на сегодняшний день сценария использования PKI [44]. В табл. 17.3 представлена Интернет-PKI, которая поддерживает обычную электронную почту (между знакомыми) и навигацию в World Wide Web при помощи SSL-сервера аутентификации. Такой сценарий требует наличия УЦ для выпуска сертификатов открытых ключей и поддержки основных сервисов аутентификации, целостности и конфиденциальности. В этом сценарии не предусмотрено использование репозитория (сертификаты пересылаются по протоколу связи), не выполняется проверка статуса получателя электронной почты (или даже сертификата сервера) и управление жизненным циклом ключей и сертификатов, отсутствует клиентское программное обеспечение (как отдельный модуль, вызываемый при помощи браузера), не требуется ни кросс-сертификация, ни дополнительные сервисы, базирующиеся на PKI.

Таблица 17.3. Интернет-PKI
УЦ Репозиторий Аннулирование сертификатов
Резервное хранение ключей Восстановление ключей Автоматическое обновление ключей
Управление историями ключей Кросс-сертификация Клиентское ПО
Аутентификация Целостность Конфиденциальность
Защищенное датирование Нотаризация Неотказуемость
Защищенный архив данных Разработка полномочий/политики Проверка полномочий/политики

Табл. 17.4 иллюстрирует функции PKI в сценарии, когда для доступа к корпоративной сети извне используется браузер и выполняется SSL-аутентификация клиентов. В этом сценарии должна поддерживаться проверка статуса сертификата, полномочий и политики. Из-за ограниченных возможностей браузера невозможно реализовать управление жизненным циклом ключей и сертификатов, кросс-сертификацию и другие сервисы, базирующиеся на PKI.

Таблица 17.4. Экстранет-безопасность (через SSL-аутентификацию клиентов)
УЦ Репозиторий Аннулирование сертификатов
Резервное хранение ключей Восстановление ключей Автоматическое обновление ключей
Управление историями ключей Кросс-сертификация Клиентское ПО
Аутентификация Целостность Конфиденциальность
Защищенное датирование Нотаризация Неотказуемость
Защищенный архив данных Разработка полномочий/политики Проверка полномочий/политики

В табл. 17.5 представлен набор функций PKI для сценария защищенной корпоративной электронной почты. В этом сценарии может потребоваться управление жизненным циклом ключей и сертификатов и встроенное клиентское программное обеспечение, так как стандартные пакеты электронной почты не всегда поддерживают безопасность, основанную на PKI. В данном случае не нужны дополнительные сервисы, базирующиеся на PKI, и кросс-сертификация.

Наконец, в сценарии поддержки межкорпоративных транзакций с использованием цифровых подписей могут потребоваться многие возможности полнофункциональной PKI, в частности сильная аутентификация и авторизация, проверка статуса сертификатов, разработка и проверка полномочий и политики, сервис неотказуемости (поддержка множественных пар ключей, хранение принятых электронных документов с цифровой подписью и т.д.). Если корпорации имеют свои собственные PKI, то необходима кросс-сертификация. В данном сценарии можно обойтись без архивирования данных, датирования и нотаризации.

Таблица 17.5. Защищенная корпоративная электронная почта
УЦ Репозиторий Аннулирование сертификатов
Резервное хранение ключей Восстановление ключей Автоматическое обновление ключей
Управление историями ключей Кросс-сертификация Клиентское ПО
Аутентификация Целостность Конфиденциальность
Защищенное датирование Нотаризация Неотказуемость
Защищенный архив данных Разработка полномочий/политики Проверка полномочий/политики
Таблица 17.6. Межкорпоративные транзакции с цифровой подписью
УЦ Репозиторий Аннулирование сертификатов
Резервное хранение ключей Восстановление ключей Автоматическое обновление ключей
Управление историями ключей Кросс-сертификация Клиентское ПО
Аутентификация Целостность Конфиденциальность
Защищенное датирование Нотаризация Неотказуемость
Защищенный архив данных Разработка полномочий/политики Проверка полномочий/политики

Таблицы 17.3, 17.4, 17.5 и 17.6 подтверждают, что PKI, реализующие частные сценарии, являются подмножествами полнофункциональной PKI. Технология PKI продолжает развиваться, но уже сейчас ясно, что многие поставщики программного и аппаратного обеспечения PKI будут ориентироваться на реализацию полнофункциональных систем, а не на PKI-продукты узкого назначения. Очевидно, что во многих случаях проще и экономически более эффективно адаптировать полнофункциональный продукт для решения специфической проблемы, чем разрабатывать и поддерживать несколько отдельных продуктов, каждый из которых предназначен для решения одной или двух специфических проблем. Во многих средах PKI произойдет неизбежный переход от частных решений частных проблем к полнофункциональной PKI, предлагающей универсальное решение проблем безопасности для широкого круга приложений.

Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?