Основи на PKI - Public Key Infrastructure Росица Младенова Фак. 9357
Криптография с публичен ключ - Public Key Cryptography Математическа наука, която осигурява конфиденциалност и автентичност при обмяната на информация чрез използване на криптографски алгоритми с публични и лични ключове Математическа наука, която осигурява конфиденциалност и автентичност при обмяната на информация чрез използване на криптографски алгоритми с публични и лични ключове Двойка криптографски ключове (public/private key pair) Двойка криптографски ключове (public/private key pair) Публичен и съответен на него личен ключ Много е трудно по единия ключ да намерим другия Личен ключ Личен ключ – Тайно число, известно само на притежателя му – С него се кодира информация и се полагат цифрови подписи
Основни функции на PKI Управление на сертификатите Управление на сертификатите Управление на ключовете Управление на ключовете Допълнителни функции Допълнителни функции
Инфраструктура на публичния ключ – Цялостната архитектура, организация, техники, практики и процедури, които подпомагат чрез цифрови сертификати приложението на криптографията, базирана на публични ключове (public key cryptography) за целите на сигурната обмяна на информация по несигурни мрежи и преносни среди – Включва сертифициращи организации и цифрови сертификати
Схема на PKI Инфраструктура на публичния ключ е технология за проверка на автентичността на електронен документ с помощта на публичен ключ. Това е съвкупността от хардуер, софтуер, хора, политики и процедури, необходими за издаването, управлението, разпределението, използването, съхранението и отнемането на цифрови сертификати.
Основни компоненти на PKI Сертификационен орган (Certification Authority) Институция, която е упълномощена да издава цифрови сертификати и да ги подписва със своя личен ключ Институция, която е упълномощена да издава цифрови сертификати и да ги подписва със своя личен ключ Осигурява доверие между непознати страни Осигурява доверие между непознати страни Може да е локална за организацията или глобална (VeriSign, GlobalSign, Entrust, Thawte, GTE CyberTrust...) Може да е локална за организацията или глобална (VeriSign, GlobalSign, Entrust, Thawte, GTE CyberTrust...)
Цифров сертификат Цифрови сертификати Цифрови сертификати – Съдържат публичен ключ и информация за неговия собственик – Свързват определен публичен ключ с определено лице – Могат да бъдат подписани от друг сертификат или да са саморъчно подписани (self-signed) Сертификатите биват Сертификатите биват – Саморъчно подписани (self-signed) сертификати – Сертификати на сертифициращи организации от първо ниво (root- сертификати) – Доверени root-сертификати (trusted root CA certificates) – Сертификати на междинни сертифициращи организации
Вериги от сертификати Състоят се от няколко сертификата, като всеки от тях (без последния) е подписан с личния ключ на предходния Състоят се от няколко сертификата, като всеки от тях (без последния) е подписан с личния ключ на предходния Използват се за проверка дали на даден сертификат може да се вярва (дали е trusted) Използват се за проверка дали на даден сертификат може да се вярва (дали е trusted) В началото на веригата най-често стои доверен root-сертификат на глобална сертифицираща организация В началото на веригата най-често стои доверен root-сертификат на глобална сертифицираща организация
Проверка на сертификати Проверени сертификати – на които може да се вярва Проверени сертификати – на които може да се вярва Процедура за проверка на сертификат Процедура за проверка на сертификат Проверява се срокът на валидност на сертификата Проверява се срокът на валидност на сертификата Проверява се сертификационната верига, която започва от него Проверява се сертификационната верига, която започва от него дали всеки сертификат от веригата (без последния) е подписан от следващия дали всеки сертификат от веригата (без последния) е подписан от следващия дали всеки сертификат от веригата (без първия) има право да подписва други сертификати дали всеки сертификат от веригата (без първия) има право да подписва други сертификати дали последният сертификат е доверен root-сертификат на някое CA, на което имаме доверие дали последният сертификат е доверен root-сертификат на някое CA, на което имаме доверие дали някой от сертификатите по веригата не е анулиран дали някой от сертификатите по веригата не е анулиран Анулирани сертификати – всяко CA поддържа актуални списъци на анулираните сертификати (CRL) Анулирани сертификати – всяко CA поддържа актуални списъци на анулираните сертификати (CRL)
Модели на доверие между непознати страни Модел с единствена доверена страна Модел с единствена доверена страна Модел Web of trust Модел Web of trust Йерархичен модел на доверие Йерархичен модел на доверие Хибриден модел кръстосана сертификация Хибриден модел кръстосана сертификация
Основни компоненти на PKI Хранилища за сертификати (Protected keystores) Могат да съдържат един или повече X.509 цифрови сертификата, евентуално с пълната си сертификационна вериги и евентуално с личните ключове, които им съответстват
Основни компоненти на PKI Регистрационният орган (Registration authoruty – RA) Регистрационният орган (Registration authoruty – RA) Орган, който е упълномощен от даден сертификационния орган да проверява самоличността и автентичността на заявителя при заявка за издаване на цифров сертификат.