ز ي ر ساخت كليد عمومي و گواهي هويت

مركز امنبت شبكه شريف1

كليد عمومي و گواهي هويت كليد عمومي و گواهي هويتر ساختر ساختييزز

2 مركز امنبت شبكه شريف

اهداف

ديت کليرين مشکالت مدييتببه عنوان راه حليد عموميرساخت کليه زيارا ها و مولفه ها و يم مربوط به گواهيان مفاهيب

يد عموميرساخت کلي متفاوت زيهايمعمار


فهرست مطالب

زير ساخت كليد عموميات يم وکليمفاه يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي PKI ي د عمومير ساخت کليزمعماريPKI


.مراجعه نماييد لغت نامه دياسال ترجمه ها به يسيدن معادل انگلي ديبرا

د واژه هايکل :



زير ساخت كليد ات يم وکليمفاه عمومي

يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي

PKI ي د عمومير ساخت کليزمعماريPKI


1 يد عموميع کليمساله توز

يادي تا حد زيد عمومي کليبا استفاده از رمزنگاری ( را حل شده است اما...يد )خصوصيع کليمشکالت توز

فرض کنRد يScott Rک زوج کليRوميRيد عمRتهي وخصوص RريRد و سRيه کن Y عا

کندي معرفBill يRد عموميR را Rبه همگانR تحت Rعنوان کليRد عموميکRل

ياطالعات محرمانه برا Billشوديد رمز مين کلي با ا

اRنه تنهBillه اRي بRات دسترسRه ين اطالعRدارد، بلکRن Scottتن کلRا داشRب Rد ي

RصRيخصوRم متنRاظر محRرمانRه ي عRات RاطالR هRب دسترسBillRتوانRد پي Rا يRد

د.ينما


ديع کليراه حل توز

ل مرتبط با ير مساين مساله و ساي حل ايبرا (PKI) زير ساخت كليد عموميد از يت کليريمد

م.يبري بهره ميو گواه


زير ساخت كليد عمومي (PKI)

PKIل مرتبط با ي مساي برايي مجموعه راه حلهال:ير موارد از قبيد عمومی و سايع امن کليتوز

ديد کليتوليگواهد ييد، ابطال و تايتولن اشخاصي بياعتماد ساز


زير ساخت كليد عمومي (PKI)

اجزاء (PKI) زير ساخت كليد عمومي به کار ياز برايو خدمات مورد ن

بر ي مبتنيستمهاي سي عمليريگ آورد.ي را فراهم ميد عموميکل(A. Nash, RSA Press )







(Certificate) يگواه

د رسمي براي تضمين ستنگواهي م. استتعلق شناسه به كليد

تواند شامل اطالعات مربوط به:ي ميگواهدي کلدي شناسه صاحب کلدينوع کاربرد کلدوره اعتبار سنداستفاده كليدو شناسه صحت ي بررسي تواند براي که مياطالعات

شود


اعتماد يک گواهيچگونه به م؟يکن

د ي باين گواهيم اي اعتماد کنيگ گواهينکه به ي ايبرا که مورد اعتماد ماست امضاء شده يتوسط شخص

باشد.

کي وجود يجاد اعتماد سراسري ايمبناشخص ثالث مورد اعتماد

باشد.يهمگان م

مينامي مCA يمرجع صدور گواهن شخص را يا


مدل اعتماد

يق گواهير تصدي + مسيمرجع صدور گواه مبنا يک مرجع صدور گواهيهمگان به (root CA)

اعتماد دارند به عنوان مثال (Verisign, Thawte, Entrust, BT,

(پیوست …يد عموميد کليفرض کن CAان يت در مي با حفظ امن

شود.يتمام کاربران منتشر م... به عنوان مثال: با روشهای فیزیکی، درج در اخبار امکان پذیر است زیرا این کار تنها برای یک نقطه

انجام میشود.


مدل اعتماد

CAيتاليجي شخص به طور ديد عمومي کل کند.يامضاء م

.عالوه بر کلید اطالعات جانبی نیز درج میشوندت کاربر برای يبرای صدور گواهی باید هوCA احراز

شود.

CAز به عنوان مراجع ي را نيگريتواند نقاط دي مد.ي منصوب نمايصدور گواه


ویژگیهای گواهی کلید عمومی

جامعيت گواهي به راحتي قابل كنترل است. هر

تغييري در آن به سادگي كنترل ميشود.

گواهي هذخيریا ارسال و نیازی به رمزگذاری در

نیست.

ي گواهي به كليد عمومي ابراي خواندن محتوCA

نياز داريم.


X.509 يگواه

محصول ITU-T و بخشي از توصيههاي سري X.500

گواهي X.509 در S/MIME، IPSec، SSL/TLS ،و SET .استفاده شده است


X.509 يگواه

: CA << A << براي صدور گواهی به معناياست.CAتوسط مرجع A كاربر

همه كاربران در محدودة يك CA: وجود اعتماد)بررسی صحت( ي نيبازبمشترك و امكان

.گواهي صادره


X.509 يکل ينماCertificate Authority Digital Signature

of All Components Together:

Serial Number

Issuer X.500 Distinguished Name

Validity Period

Subject X.500Distinguished Name

Subject Public KeyInformation

Key/Certificate Usage

Extensions


X.509 ياپي پينسخه هاVersion

Parameters

Certificate Serial Number

Algorithm

Issuer Name

Not Before

Not After

Subject Name

Algorithms

Key

Issuer Unique Name

Extensions

Encrypted

Parameters

Subject Unique Name

Algorithms

Parameters

Signature Algorithm Identifier

Period of Validity

Subject’s Public Key

Info

Signature

Ver

sion

1

Ver

sion

3

Ver

sion

2

All

Ver

sion

s


مثالی از گواهی کلید عمومی


يک گواهي ينينحوه بازب

تاليجي صحت امضاء دي عبارتست از بررسي گواهيني، بازبيبه طور اساس

يد عموميفرض : کل CAت منتشر شده ي مورد اعتماد کاربر با حفظ امناست.

باشد.يار مي مورد اعتماد در اختيد عموميک کليگر يان ديبه ب

د صحت امضاء يحال باCAم.ي کني را بررسي گواهي بر روموارد که کاربر يدر برخ CAد تا يمايها را بپيره گواهيد زنجيشناسد باي را نم

مبنا برسد.يبه ورجع صدور گواه

ز ي را نيک گواهي يدانهاير ميد ساين بسته به کاربرد و زمان، بايهمچنم. ي کنيبررس


استفاده از گواهي براي كنترل درستي امضاء







د ير ساخت کلي زوظايف PKI يعموم

ابطال گواهي( نسخهبرداري و بازيابي كليدBackup & Restore)انكارناپذيري امضاءهاي رقميبروزآوري خودكار زوج كليد-گواهي هامديريت سابقه كليدهاپشتيباني از cross-certification نرمافزار طرف كارفرما براي تعامل امن و مطمئن با

موارد باال.


اعدم اعتبار گواهي يمساله يد عموميکل

فرض کنRد يBill Rک زوج کليRوميRيد عمRتهي وخصوص Rد ويRکل ه کنRوميRهيد عمRورت را بRص

کندي به همگان معرفيامن

ياطالعات محرمانه برا Billشوديد رمز مين کلي با ا

نکه ...يتا ا

ر مجاز توسط ي غيل به روشي بيد خصوصيکل Scott شودي کشف م

Scottتن کلRا داشRب RيRاظر ميد خصوصRه ي متنRات محرمانRه اطالعRد بRتوانBillRپي دسترس Rدا ي

د بRازRهم Rممکن اسRت يRض نRمايد را RتعRويRن مRاجرا RمطلRع شRودR و Rکلي از اBill اگRر يRد حRتيRنمRا

باشRد.يR کماکRان دRر معRرض خRطRر مBillنRد و RاطالعRات ي اسRتفادRه نمايد قبRليRگRران Rاز کليRد


چند در مورد ابطال ينکات يگواه

ر قابل انکار است. يت غيک واقعيد يافشاء کلت صاحب يا موقعير سمت يين امکان تغيهمچن

د وجود دارد.يکلد باطل شود.يد کلينگونه موارد، بايدر ا

ک شخص مورد اعتماد يد از جانب ي بايابطال گواهاعالم شود.

ي ابطال گواهيگواه

به اطالع همگان برسد.يد ابطال گواهيبا


ياعالم ابطال گواه

ست:ي آسان نياعالم ابطال گواه

ي ابطال گواهياز فهرست ها CRLن يشود. اي استفاده م ليستي از گواهيهاي منقضي نشده بي اعتبارفهرستها شامل

امضاء شده است.CAباشند که توسط يم

بنا براين فرآيند بازبيني يک گواهي بايد به طور مداوم اينفهرست را بررسي کند.

شودي ميرياس پذيمقنه ي در زمين امر منجر به مشکالتيا


:مشکل ي اعالم ابطال گواهيفرهنگ

ا Y کنند.ير فعال مينه را غين گزيکاربران عمدتا

لين دليبه همکوتاه بودن زمان انقضاء باشد.يح ميدها مورد ترجي کل


3عدم اعتبار گواهي


نسخهبرداري و بازيابي كليد

دو دليل براي نسخه برداري كليد فراموشي كلمه رمز که منجر به از دست دادن دادههاي

حساس ميشود. حتي رمز نكردن به خاطر ترس از گمشدن كلمه رمز وجود

دارد. گم شدن، دزديده شدن، و يا خرابي رسانهاي كه كليدها

روي آن ذخيره شده است.

بايد مركزي براي بازيابي كليد وجود داشته باشد.


2نسخهبرداري و بازيابي كليد -

عدم انكار دليلي بر عدم نسخهبرداري كليد.انكار يعني اعالم عدم دخالت در يك تراكنش

.در فرم كاغذي امضاء اين كار را كنترل ميكند .در فرم الكترونيكي: امضاء رقمي


3نسخهبرداري و بازيابي كليد -

تنها عدم انكار مستلزم توليد و ذخيرة امن كليد امضاءدر محدوده تحت كنترل كاربر است

کلید خصوصی نبايد از آن Backup .گرفت

ضرورت نداردنیزاز نظر فني : د.نموتوليد و استفاده برای رمزگذاری مجزازوج كليد میتوان

. دو زوج كليد براي هر كاربر الزم استنيبنابر ا


1- كليدهاهمديريت سابق

:نبايد كليدها ابدي باشند. پس بايد.كليدها را بروز آورد بروزآوري كليد بايد شفاف باشد، در نتيجه کليدها

بايد قبل از انقضاء بروز آيد.


2- كليدهاهمديريت سابق

:برای کلید های رمز گذاری سابقه زوج كليدهاي قبلي را نگهداشت تا دادههاي

رمز شده با زوج قبلي قابل رمزبرداري باشند. .توسط نرمافزار طرف كارفرما انجام ميشود

نقطه مقابل: وقتي كليدهاي امضاء بروز ميآيندكامال نابود شوند!کلید خصوصی بايد







د ير ساخت کليز مؤلفه هايPKI يعموم

تا حال صادر كننده را مسئول توليد، مديريت، و تلقي كرده ايم.CRLتوزيع گواهي و

PKI از تعدادي مؤلفه تشكيل شده است كه هركدام بخشي از وظايف را به خوبي انجام

مي دهند...


PKI مؤلفه هاي

چهار مؤلفه اصلي :ا ي يمرجع صدور گواهCA ا ي يسيمرجع نام نوRAكنترل محتواي ي برا

گواهي و اطمينان از تعلق به دارنده آن.ابطال يفهرست هاتوزيع گواهي ها و ي برارهانبا

حداكثر كارآيي و دسترس پذيري الزم.با ها يگواهدراز ينگهدار انباره طوالني و امن براي يگانيبا

اطالعاتمدت


PKI مؤلفه هاي


user registration

user initialization

keyinstallation

normal useof the key

archival

key de-registrationand destruction

keyrecovery

revocation

key generation

keyupdate

keyregistration

new key

new user

existinguser

keybackup

new key

directory

old key(expired)

cryptoperiod expiry

initialkey

recoveredkey

key loss nocompromise

keycompromise

keyestablishment

protocol

KEY STATE

preop

op

postop

ob

key movement

system trigger


CAمرجع صدور گواهي يا

ک يCA شناخته كليد عمومي و نام با دو صفت مجموعه اي از از يي. و مجموعه امي شود

باشد.ي مسخت افزار، نرم افزار، و اپراتورها


CAوظايف

ي كاربران و يا را )توليد و امضاء( بصدور گواهيها.CAديگر

و صدور فهرست نگهداري وضعيت گواهي ها .CRLهاي ابطال گواهي


RAمرجع نام نويسي يا

ي تأييد هويت متقاضيهاروشRA قبل از ارائه در خواست به CA اطالعات الزم را

جمع آوري و كنترل مي كند: مراجعه شخص، تأييد هويت. زوج كليد توليد كرده باشد همان Y CAبه کلیدها اگر قبال

ارسال مي شود. در غير اين صورت يك هويت شناسي يكبار مصرف

ارائه دهد.CAمي گيرد تا پس از توليد به







د ير ساخت کليزمعماري PKIي عموم

مادام كه دارندگان گواهي از يكCA گواهي گرفته باشند مسئله ساده است.

وقتي كه دارندگان گواهي ازCA هاي مختلفگواهي گرفته باشند چگونه اعتماد كنند؟

يد عمومير ساخت کلي زمعماري ساده : تنها يكCAهرگونه اشكال منجر به : در سازمان

Y صدور مجدد گواهي ها. لطمه ديدن اعتماد و احتماال


گواهي متقابل

چند شامل محيط بزرگک ي CA يا درختي ازCA ها د.يريرا در نظر بگ

هر CA به كاربران خود سرويس ميدهد و لي بهديگر هم يك گواهي نزد خود دارد. CA ازاء هر

با فرض A و B ومربوط به د CA مختلفX1 وX2

X1 <<X2>> X2 <<B>> O

X2 <<X1>> X1 <<A>> O



X1

A

X2

B


Enterprise PKI

دومعماري مختلف برايPKIعبارتند از: بزرگ

سلسله مراتبي

مشبک




لغت نامه

Non Repudiation

عدم انكار

Revoke ابطال

Components اجزاء

Repository انباره

Expiration انقضاء

Verify بازبيني

Restore بازيابي

Archive بايگاني

Integrity جامعيت

Services خدمات

Media رسانه

Public Key Infrastructure

زير ساخت كليد عمومي

Hierarchical سلسله مراتبي

Trusted Third Party

شخص ثالث مورد اعتماد

Transparent شفاف

ID شناسه

Server Side طرف كارفرما

Certificate Revocation List

فهرست ابطال گواهي

Certificate گواهي

Cross-certification


Key Management

مديريت کليد

Registration Authority

مرجع ثبت نام

Certificate Authority

مرجع صدور گواهي

Mesh مشبک

Scalability مقياس پذيري

field ميدان

Back Up نسخهبرداري

مركز امنبت شبكه شريف51

وست هايپ



دوشركتاصليترتت تتتت

Documents

ز ي ر ساخت كليد عمومي و گواهي هويت