Infrastruktura klucza publicznego.pdf
(
846 KB
)
Pobierz
Przegląd podstawowych technik kryptograficznej ochrony danych
Krzysztof Ślot Infrastruktura klucza publicznego (PKI)
Infrastruktura klucza publicznego (PKI)
Wstęp
1. Mechanizm poświadczania autentyczności w PKI
1.1. Certyfikaty PKI
1.2. Struktura PKI
2. Proces certyfikacji
3. Weryfikacja certyfikatu
4. Wydawanie kluczy kryptograficznych przez urząd certyfikacji
Bibliografia
1
Krzysztof Ślot Infrastruktura klucza publicznego (PKI)
Wstęp
Kryptografia klucza publicznego gwarantuje tajność oraz wiarygodność przesyłanych
i przechowywanych danych. Oznacza to, że nie musimy obawiać się przechwycenia
danych przez osoby niepowołane, nikt bowiem, poza adresatem, nie pozna zaszyfrowanej
treści danych. Dodatkowo możemy ufać otrzymywanym przesyłkom, ponieważ mamy
pewność co do ich autorstwa oraz co do integralności zawartych w nich treści.
Wydawałoby się więc, że kryptografia klucza publicznego kompleksowo i ostatecznie
rozwiązuje problem ochrony informacji, gdyby nie sprawa ograniczonego zaufania do
rzeczywistej tożsamości naszego rozmówcy, którą można zawrzeć w pytaniu: skąd
można mieć pewność, że osoba, z którą prowadzona jest korespondencja, jest naprawdę
tym, za kogo się podaje? Treścią niniejszego modułu jest omówienie sposobu, jaki został
przyjęty w celu rozstrzygnięcia powyższej wątpliwości.
Szczegółowe informacje dotyczące prezentowanych w niniejszym module zagadnień są
zawarte w dokumentach określających standardy kryptografii klucza publicznego
— tzw. standardach PKCS —
Public Key Cryptography Standards
(
http://www.rsasecurity.com/rsalabs/default.asp
).
2
Krzysztof Ślot Infrastruktura klucza publicznego (PKI)
1. Mechanizm poświadczania autentyczności w PKI
Bezpieczeństwo danych w systemach kryptografii klucza asymetrycznego bazuje na
zaufaniu w prawdziwość klucza publicznego, chroniącego informacje. Użycie klucza
publicznego partnera korespondencji pozwala na zaszyfrowanie kierowanych do niego
danych (np. numeru karty kredytowej), utajniając je przed osobami nieposiadającymi
odpowiedniego klucza prywatnego. Podobnie, użycie klucza publicznego autora
otrzymanego przez nas kryptogramu pozwala na odszyfrowanie zawartych w nim danych,
dając pewność ich wiarygodności.
Klucz publiczny, który posiadamy i używamy do szyfrowania i deszyfracji przesyłanych
wiadomości staje się gwarantem tożsamości partnera korespondencji. Nasze
przekonanie, że komunikujemy się z daną osobą, opieramy w całości na zaufaniu do
tego, że posiadany przez nas klucz publiczny rzeczywiście należy do tej osoby. Oznacza
to, że w chwili przyjęcia przez nas czyjegoś klucza publicznego, musimy mieć pewność,
co do jego wiarygodności. Jeżeli nie istnieją odpowiednie, dodatkowe mechanizmy
uwiarygodnienia, pewność taką może dać jedynie osobiste pobranie klucza publicznego
od jego właściciela. Każda inna forma przekazania klucza — na przykład jako załącznika
do poczty elektronicznej, listu zawierającego dyskietkę czy pobrania klucza z serwera
— nie dają nam gwarancji, że nie padniemy ofiarą oszustwa. Zważywszy, że większość
partnerów, z którymi chcielibyśmy porozumiewać się w bezpieczny sposób przez Internet
nie jest nam znana osobiście (sklepy internetowe, banki, usługi internetowe) i osobista
wymiana klucza nie wchodzi w grę, konieczne stało się opracowanie sposobów
gwarantowania tożsamości partnerów bezpiecznej komunikacji. Efektem podjętych starań
jest stworzenie systemu mechanizmów poświadczania autentyczności, a także
rozpowszechniania i kontroli danych uwierzytelniających, nazywanego
infrastrukturą
klucza publicznego
(oznaczanego skrótem
PKI
, pochodzącym od angielskiej nazwy
Public Key Infrastructure
).
Istota mechanizmu gwarantowania tożsamości przyjęta w PKI polega na wprowadzeniu
do procedury wymiany kluczy publicznych między dwoma stronami komunikacji trzeciego
podmiotu, do którego obydwie strony mają zaufanie i który gwarantuje prawdziwość
przekazywanych danych. Sposób, w jaki realizowane jest poświadczenie rzetelności
danych polega na umieszczeniu tych danych w obszerniejszym dokumencie, nazywanym
certyfikatem
, sporządzonym i podpisanym elektronicznie przez zaufaną, trzecią stronę.
3
Krzysztof Ślot Infrastruktura klucza publicznego (PKI)
1.1. Certyfikaty PKI
Certyfikat jest dokumentem, którego celem jest zaświadczenie autentyczności danych
podmiotu, dla którego został wystawiony i jednoznaczne powiązanie tych danych
z kluczem publicznym tego podmiotu. Dlatego też pierwsza grupa informacji, jakie
zawarte są w certyfikacie, to klucz publiczny i informacje o jego posiadaczu (rys. 1).
W przypadku, gdy certyfikat jest wydawany osobie fizycznej, powinny znaleźć się w nim
dane osobowe (imię i nazwisko) tej osoby oraz, tym razem opcjonalnie, informacje
o zatrudniającej ją instytucji (oddziale firmy:
OU
— ang.
organizational unit
i nazwie
firmy:
ON
— ang.
organization name
) oraz lokalizacji terytorialnej posiadacza (nazwie
państwa:
CN
— ang.
country name
i ewentualnej nazwie jednostki terytorialnej państwa,
takiej jak stan czy województwo:
S
— ang.
state name
). Jeżeli certyfikowana jest
instytucja, pole
CN
będzie zawierać jej nazwę, zaś pozostałe wymienione pola będą
zwykle puste.
Kolejna kategoria informacji zawarta w certyfikacie dotyczy samego certyfikatu, a nie
osoby certyfikowanej. Mamy tu więc przede wszystkim datę ważności certyfikatu,
określającą od kiedy do kiedy przedłożony certyfikat jest ważny, a także informację
o przeznaczeniu certyfikatu. Możliwe przeznaczenia certyfikatu to poświadczenie
autentyczności jego posiadacza jako partnera bezpiecznej komunikacji, uwierzytelnienie
poczty wysłanej przez posiadacza lub inne funkcje. Kolejną, niezmiernie ważną
informacją jest numer identyfikujący certyfikat, nadawany unikatowo dla każdego
wydawanego certyfikatu i wykorzystywany do sprawdzania, czy certyfikat nie został
czasem unieważniony (co będzie szerzej opisane w dalszej części modułu). Dodatkowo,
w certyfikacie mogą znaleźć się informacje pomagające odszukać w sieci serwery
zawierające listy unieważnionych certyfikatów.
Wymienione informacje — zarówno te, które dotyczą osoby certyfikowanej, jak i te, które
opisują certyfikat — są w trzeciej części certyfikatu uzupełniane danymi wystawcy
certyfikatu. Ostatnim elementem certyfikatu jest podpis elektroniczny sporządzony dla
wszystkich zawartych w nim danych, obejmujący również informację o algorytmie
użytym do wyznaczenia tego podpisu.
4
Krzysztof Ślot Infrastruktura klucza publicznego (PKI)
Posiadacz certyfikatu
Dane certyfikatu
Wystawca
Klucz
publiczny
Dane posiadacza
CN, OU ...
Data ważności,
ID, przeznaczenie
Dane
wystawcy
Podpis
Rysunek 1.
Informacje zawarte w certyfikatach PKI
W celu ujednolicenia postaci certyfikatów, koniecznej z punktu widzenia możliwości
korzystania z nich przez różne aplikacje, ustalonych zostało kilka standardowych
formatów, określających sposób organizacji wymienionych wcześniej informacji.
Najpowszechniej stosowanym obecnie formatem zapisu certyfikatu jest format X.509,
którego podstawowe elementy zostały przedstawione w tabeli 1.
Tabela 1.
Podstawowe dane określane przez format X.509 certyfikatu
Nazwa pola
Opis
Version
Informacja o wersji formatu certyfikatu (najpowszechniej stosowana
jest obecnie wersja 3, oznaczana cyfrą 2)
Serial Number
Numer certyfikatu, unikatowy w obrębie puli certyfikatów wydawanych
przez dany urząd certyfikacji
Validity
Okres ważności certyfikatu (od–do)
Subject Name
Nazwa i inne informacje o posiadaczu
Subject Name Key
Info
Klucz publiczny posiadacza oraz określenie algorytmu, którego dotyczy
wykorzystanie klucza
Issuer Name
Nazwa urzędu certyfikacji, który wydał certyfikat
Algorithm Identifier
Algorytm użyty do podpisania certyfikatu przez urząd certyfikacji
Key Usage,
Extended Key Usage
Przeznaczenie klucza zawartego w certyfikacie (definiowane jako
szyfrowanie, uwierzytelnianie, podpisywanie innych certyfikatów oraz
uwierzytelnianie serwera lub klienta, aplikacji, podpisywanie poczty
i inne)
CRL Distribution
Points
Adresy sieciowe, pod którymi można uzyskać aktualną listę
unieważnionych certyfikatów
1.2. Struktura PKI
Rolę strony poświadczającej autentyczność danych użytkowników systemu pełnią w PKI
główne urzędy certyfikacji
(ang.
Root Certificate Authority
). Są to instytucje prywatne
5
Plik z chomika:
sandrapriv
Inne pliki z tego folderu:
Infrastruktura klucza publicznego.pdf
(846 KB)
Polityka bezpieczeństwa.pdf
(283 KB)
Okablowanie strukturalne cz.1.pdf
(2597 KB)
Okablowanie strukturalne cz.2.pdf
(1045 KB)
projektowanie sieci komputerowych.pdf
(859 KB)
Inne foldery tego chomika:
GRAFIKA
Instalki
Playlisty
Prywatne
TI
Zgłoś jeśli
naruszono regulamin