Основи на PKI - Public Key Основи на PKI - Public Key InfrastructureInfrastructure

Росица МладеноваРосица МладеноваФак.№ 9357Фак.№ 9357

Криптография с публичен ключ - Public Key Cryptography

Математическа наука, която осигурява конфиденциалност Математическа наука, която осигурява конфиденциалност и автентичност при обмяната наи автентичност при обмяната на информация чрез информация чрез използване на криптографски алгоритми с публични и използване на криптографски алгоритми с публични и лични ключовелични ключове

Двойка криптографски ключове (public/private key pair)Двойка криптографски ключове (public/private key pair)Публичен и съответен на него личен ключПубличен и съответен на него личен ключМного е трудно по единия ключ да намерим другияМного е трудно по единия ключ да намерим другия Личен ключЛичен ключ– Тайно число, известно само на притежателя муТайно число, известно само на притежателя му– С него се кодира информация и се полагат цифрови С него се кодира информация и се полагат цифрови

подписиподписи

Основни функции на PKIОсновни функции на PKI

Управление на сертификатите Управление на сертификатите

Управление на ключовете Управление на ключовете

Допълнителни функции Допълнителни функции

Инфраструктура на публичния Инфраструктура на публичния ключ ключ

– Цялостната архитектура, организация, техники, Цялостната архитектура, организация, техники, практики и процедури, които подпомагат чрез практики и процедури, които подпомагат чрез цифрови сертификати приложението на цифрови сертификати приложението на криптографията, базирана на публични ключове криптографията, базирана на публични ключове ((public key cryptographypublic key cryptography) за целите на сигурната ) за целите на сигурната обмяна на информация по несигурни мрежи и обмяна на информация по несигурни мрежи и преносни средипреносни среди

– Включва сертифициращи организации и Включва сертифициращи организации и цифрови сертификатицифрови сертификати

Схема на PKI

Инфраструктура на публичния ключ е технология за проверка на автентичността на електронен документ с помощта на публичен ключ. Това е съвкупността от хардуер, софтуер, хора, политики и процедури, необходими за издаването, управлението, разпределението, използването, съхранението и отнемането на цифрови сертификати.

Основни компоненти на PKIОсновни компоненти на PKI

Сертификационен органСертификационен орган (C (Certification ertification AAuthorityuthority))

Институция, която е упълномощена да Институция, която е упълномощена да издава цифрови сертификати и да ги издава цифрови сертификати и да ги подписва със своя личен ключподписва със своя личен ключ

Осигурява доверие между непознати Осигурява доверие между непознати странистрани

Може да е локална за организацията Може да е локална за организацията или глобална (или глобална (VeriSign, GlobalSign, VeriSign, GlobalSign, Entrust, Thawte, GTE CyberTrust...)Entrust, Thawte, GTE CyberTrust...)

Цифров сертификат

Цифрови сертификатиЦифрови сертификати– Съдържат публичен ключ и информация за неговия собственикСъдържат публичен ключ и информация за неговия собственик– Свързват определен публичен ключ с определено лицеСвързват определен публичен ключ с определено лице– Могат да бъдат подписани от друг сертификат или да са Могат да бъдат подписани от друг сертификат или да са

саморъчно подписани (саморъчно подписани (selfself--signedsigned))

Сертификатите биватСертификатите биват– Саморъчно подписани (Саморъчно подписани (self-signed) self-signed) сертификатисертификати

– Сертификати на сертифициращи организацииСертификати на сертифициращи организации от първо ниво (от първо ниво (root-root-сертификати)сертификати)

– Доверени Доверени root-root-сертификати (сертификати (trusted roottrusted root CA CA certificates)certificates)

– Сертификати на междинни сертифициращи организацииСертификати на междинни сертифициращи организации

Вериги от сертификати

Състоят се от няколко сертификата, като Състоят се от няколко сертификата, като всеки от тях (без последния) е подписан с всеки от тях (без последния) е подписан с личния ключ на предходнияличния ключ на предходния

Използват се за проверка дали на даден Използват се за проверка дали на даден сертификат може да се вярва (дали е сертификат може да се вярва (дали е trusted)trusted)

В началото на веригата най-често стои В началото на веригата най-често стои доверен доверен root-root-сертификат на глобална сертификат на глобална сертифицираща организациясертифицираща организация

Проверка на сертификати

Проверени сертификати – на които може да се вярваПроверени сертификати – на които може да се вярва Процедура за проверка на сертификатПроцедура за проверка на сертификат• Проверява се срокът на валидност на сертификатаПроверява се срокът на валидност на сертификата• Проверява се сертификационната верига, която започва Проверява се сертификационната верига, която започва

от негоот него• дали всеки сертификат от веригата (без последния) е дали всеки сертификат от веригата (без последния) е

подписан от следващияподписан от следващия• дали всеки сертификат от веригата (без първия) има дали всеки сертификат от веригата (без първия) има

право да подписва други сертификатиправо да подписва други сертификати• дали последният сертификат е доверен дали последният сертификат е доверен root-root-сертификат сертификат

на някое на някое CACA, на което имаме доверие, на което имаме доверие• дали някой от сертификатите по веригата не е анулирандали някой от сертификатите по веригата не е анулиран Анулирани сертификати – всяко Анулирани сертификати – всяко CA CA поддържа актуални поддържа актуални

списъци на анулираните сертификати (списъци на анулираните сертификати (CRL)CRL)

Модели на доверие между непознати страни

Модел с единствена доверена Модел с единствена доверена странастрана

Модел „Web of trust”Модел „Web of trust”Йерархичен модел на довериеЙерархичен модел на довериеХибриден модел „кръстосана Хибриден модел „кръстосана

сертификация”сертификация”

Основни компоненти на PKIОсновни компоненти на PKI

Хранилища за сертификатиХранилища за сертификати (Protected (Protected keystores)keystores)

Могат да съдържат един или повече Могат да съдържат един или повече X.509 X.509 цифрови сертификатацифрови сертификата, , евентуално с пълната си евентуално с пълната си сертификационна вериги и сертификационна вериги и евентуално с личните ключове, евентуално с личните ключове, които им съответстваткоито им съответстват

Основни компоненти на PKIОсновни компоненти на PKI

Регистрационният орган (Регистрационният орган (RRegistration egistration authoruty – RA) authoruty – RA)

Орган, който е упълномощен от даден Орган, който е упълномощен от даден сертификационния орган да проверява сертификационния орган да проверява самоличността и автентичността на самоличността и автентичността на заявителя при заявка за издаване на заявителя при заявка за издаване на цифров сертификат. цифров сертификат.