Центр Сертифікації АТ "Перший Український Міжнародний банк"

Інфраструктура відкритих ключів

Інфраструктура відкритих ключів (Public Key Infrastructure, PKI) надає основу, яка складається з служб, технологій, протоколів та стандартів, які дозволяють розгортати і управляти системою стійкої інформаційної безпеки на базі технології відкритих ключів. Основні компоненти інфраструктури відкритого ключа - це цифрові сертифікати, списки відклику сертифікатів (certificate revocation list, CRL) та центри сертифікації (certification authority, СА чи ЦС). Інфраструктура відкритого ключа необхідна для реалізації рішень на основі технології відкритих ключів.
Відкриті та закриті ключі використовуються при перевірці автентичності та для забезпечення конфіденційності, цілісності та неможливості зміни авторства. Хоча самі по собі відкриті та закриті ключі не надають ніяких доказів того, що пара ключів належить припущеному власнику. Це означає, що необхідно мати спосіб достовірно підтвердити особистість власника набору ключів. Для створення системи довіри до наборів ключів у відкритих мережах необхідні довірені організації, які візьмуть на себе автентифікацію людей, організації та комп'ютерів в мережі, надаючи підтвердження приналежності відкритих і закритих ключів.Такі довірені організації, називаються центрами сертифікації (certification authority, CA) та ЦС. Вони однозначно ідентифікують мережеві об'єкти і надають ідентифікаційні посвідчення, на основі яких учасники мережевого обміну перевіряють автентичність об'єктів мережі.
Для налаштування довіри в інфраструктурі відкритих ключів використовуються електронні посвідчення, які називаються цифровими сертифікатами (digital certificates) і випускаются ЦС. Цифровий сертифікат підтверджує, що згаданий в ньому об'єкт, є власником пари <відкритий/закритий ключі>. При наявності такого підтвердження інші об'єкти в мережі можуть бути впевнені в приналежності відкритого ключа.

Цифрові сертифікати

Цифрові сертифікати служать для ідентифікації людей, організацій та комп'ютерів в мережі. Сертифікати випускаються та сертифікуються центрами сертифікації. Сумісні з специфікацією PKIX інфраструктури відкритих ключів підтримують сертифікати промислового стандарту Х.509 v3.

Випуск сертифікатів центрами сертифікації

Випущені ЦС цифрові сертифікати надають докази автентичності об'єктів в мережі. В сертифікаті міститься інформація, яка ідентифікує його власника, як об'єкт (інколи називають суб'єктом) в мережі. Сертифікат також містить відкритий ключ власника і вказує на ЦС, який його випустив, який називається видавцем (issuer) сертифікату. Сертифікат підписується закритим ключем ЦС. Для створення цього підпису ЦС вираховує хеш-код сертифікату і шифрує його своїм закритим ключем. Створений таким шляхом цифровий підпис знаходться в сертифікаті. Перевірка цілісності сертифікату виконується за допомогою хеш-функції та відкритого ключа ЦС. Якщо сертифікат пошкоджений чи замінений, його хеш-код не співпадає з хеш-кодом в цифровому підпису ЦС. Сертифікат - це відкрита та доступна всім інформація. Як правило, сертифікати розповсюджують через каталоги, загальні папки і Web-сторінки, а також за допомогою електроної пошти. Під розповсюдженням сертифікатів мається на увазі також розповсюдження відкритих ключів, так як сертифікати включать відкриті ключі. Довіра до закритого ключа власника сертифікату засновується на репутації ЦС, який випустив сертифікат та на впевненості дотриманні правил випуску сертифікатів.

Призначення пари ключів

В полі інформації відкритого ключа суб'єкта в сертифікаті Х.509 v3 містяться відомості про криптографічні операції, в яких дозволяється використання цієї пари ключів. Як правило, системи безпеки на базі відкритих ключів підтримують наступні основні криптографічні операції:

• підпис електронних даних для підтвердження їх походження та цілісності;
• перевірку автентичності об'єктів мережі;
• шифрування секретного ключа симетричного шифрування для його захисту при передачі та розповсюдженню по мережі.

Пари відкритого та закритого ключів застосовуються в технологіях інформаційної безпеки для виконання різних призначень. Вони перераховані в полі розширень. Далі наведені звичайні призначення сертифікату:

• захищена пошта, яка забезпечує перевірку автентичності, конфіденційності, цілісності і неможливості зміни авторства повідомлень;
• безпечений зв'язок через Інтернет, забезпечуючи перевірку автентичності, цілісності і конфіденційності зв'язку між Web-клієнтами та серверами;
• підпис коду, який забезпечує цілісність і неможливість зміни авторства виконуваного коду і розповсюдження його в Інтернеті та інтрамережах;
• перевірка автентичності користувачів ресурсів мережі при локальному чи віддаленому вході в систему;
• перевірка автентичності засобами IPSec для клієнтів, які не використовують протокол Kerberos і загальні секретні паролі при зв'язку протоколах IPSec.

Реєстрація сертифікатів

Для того, щоб отримати сертифікат в ЦС, користувачі та комп'ютери повинні подати в центр сертифікації запит на сертифікат. Процес подачі запиту здійснюється за допомогоюм спеціально-створених Web-сторінок. Отримавши запит на сертифікат, ЦС перевіряє відповідність запитувача критеріям для видачі сертифікату, і в залежності від результатів перевірки задовольняє чи відміняє запит.
каталоги, Web-сторінки, загальні папки та електронну пошту.

Списки відкликаних сертифікатів

ЦС публікує списки відкликаних сертифікатів (certificate revocation list, CRL) - списки сертифікатів, оголошених недійсними (це відбувається наприклад, коли користувач сертифікату звільняється чи коли секретний ключ зкомпрометовано). При перевірці сертифікату програма проглядає списки CRL, для того, щоб визначити, чи не відкликано сертифікат. В CRL публікуються недійсні сертифікати, яким не можна довіряти. По закінченню терміну дії сертифікат виключається із списку CRL. Для попередження фальсифікації ЦС підписує CRL своїм закритим ключем.

Оновлення сертифікатів

По закінченню терміну дії сертифікат стає недійсним і не підлягає подальшому використанню. Проте сертифікати дозволяється випускати повторно з новими термінами дії. При цьому процес оновлення полягає в запиті нового сертифікату.

Управління ключами

Управління закритим ключами - це найважливіша функція інфраструктури відкритого ключа. Варто беззаперечно забезпечувати безпеку закритих ключів при їх створенні, розповсюдженні та збереженні. Закритий ключ в руках зловмисника дизкредитує всю систему безпеки. Перехопивши закрити ключі, зловмисник може замінити його власника у всіх мережевих операціях з відкритим ключем. В залежності від призначення, зкомпрометований закритий ключ можна використовувати для пошкодження мережевих ресурсів, викрадення цінної інформації чи для нанесення шкоди репутації.

Безпека закритих ключів

Володіти і користуватися закритим ключем повинен тільки його власник. Тому в інфраструктурі відкритого ключа закриті ключі потрібно зберігати в закритому та недоступному від стронніх місці, і окрім того, забезпечувати існування кожного ключа в єдиному екземплярі.