Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) - набор средств (технических, материальных, людских и т. д.); распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. Б основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
1. закрытый ключ {private key) известен только его владельцу:
2. удостоверяющий центр создает электронный
Объекты PKI
PKI реализуется, а модели клиент-сервер, то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента.
Основные компоненты PKI:
* Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей, УЦ является главным компонентом PKI:
1. Он является доверенной третьей стороной
2. это сервер, который осуществляет управление жизненным циклом сертификатов (но не их непосредственным использованием).
Сертификат открытого ключа (чаще всего просто сертификат) - это данные пользователя и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет закрытым ключом, который соответствует этому открытому ключу,
Регистрационным центр (РЦ) - необязательный компонент системы, предназначенный для регистрации пользователей. Для этик целей РЦ обычно предоставляет веб-интерфейс. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в несколькик PKI). один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного иентоа. *
Репозиторий - хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ Na 63 а Об электронной подписи к* он называется реестр сертификатов ключей подписей.
Архив сертификатов - хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия}. Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
Центр запросов - необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
Конечные пользователи - пользователи. Приложений или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Основные задачи:
Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:
• обеспечение конфиденциальности информации;
• обеспечение целостности информации;
• обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
• обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость, (неотрекаемость, апеллируемость) - англ, non-repudiation).
• Основные функции удостоверяющего центра:
• проверка личности будущих пользователей сертификатов;
• выдача пользователям сертификатов;
• аннулирование сертификатов;
• ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.
Дополнительные функции удостоверяющего центра:
• УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат.
• По запросу, при разрешении конфликтов. УЦ может производить проверку подлинности электронной подписи владельца сертификата, выданного этим УЦ.
Сертификат - это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись центра выдачи сертификатов (УЦ). информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.
Причины досрочного аннулирования сертификатов:
• компрометация закрытого ключа;
• изменение информации о владельце сертификата, содержащейся в этом сертификате;
• добровольное заявление владельца сертификата;
• изменения полномочий текущего владельца сертификата.
Ключевая пара - это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то. что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).
Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации Пользователя УЦ выдает ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим,
Открытый ключ известен всем, в то время закрытый ключ хранится в тайне, владелец закрытого ключа всегда хранит ого в тайне и ни при каких обстоятельствах не дел жен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ все-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то. что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если
Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифровывания данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.
Подлинность электронной подписи проверяется следующим образом:
1. Получатель получает данные (зашифрованные или в открытом виде) и электронную подпись.
2. [Опциональный шаг, так как документ/сообщение/файл мог быть отправлен в открытом виде]. Данные расшифровываются с помощью либо заранее оговоренного симметричного ключа, либо с помощью закрытого ключа получателя (во втором случае данные были зашифрованы с помощью открытого ключа получателя, извлеченного из его сертификата).
3. Получатель вычисляет хеш расшифрованного документа/сообщения/файла (алгоритм хеша указан в сертификате).
4. Получатель применяет к электронной подписи алгоритм снятия подписи (алгоритм подписи указан е сертификате), в результате чего получает хеш исходного документа/сообщения/файла.
5. Получатель сравнивает хеши. Если они одинаковы - электронная подпись считается действительной, при условии, что сертификат действителен и был применен в соответствии с его политиками.
Личные сертификаты