СКЗИ с асимметричными ключами. ИОК (PKI).

http://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом

Преимущества

  • не нужно передавать секретный ключ.
  • у секретного ключа только один пользователь.
  • число ключей значительно меньше и их количество легче увеличивать при увеличении крипто сети.

Недостатки

  • более длинные ключи, чем симметричные.
  • процесс шифрования-расшифрования на два-три порядка медленнее.

 

Рис. Использование открытых и закрытых ключей

 

Т.к. открытые ключи в базе или при передачи не защищены их можно подменить.

 


Рис. Подмена открытого ключа

Для защиты открытых ключей используют один из методов контроля целостности данных - ЭЦП.

Вводится третья сторона Удостоверяющий Центр - УЦ (CA - Certificate Authority).

http://ru.wikipedia.org/wiki/Центр_сертификации

На базе открытого ключа и сопроводительной информации УЦ создает сертификат подписанный ЭЦП УЦ.

Содержимое сертификата открытого ключа:
http://ru.wikipedia.org/wiki/X.509

  1. открытый ключ.
  2. сопроводительная информация: реквизиты владельца ключа, время действия ключа и т.п.
  3. информация о сроках действия ключа.
  4. информация о назначении ключа (шифрование, ЭЦП и т.д).
  5. информация об УЦ, выпустившем сертификат
  6. ЭЦП УЦ (что обеспечивает контроль целостности данных первых двух пунктов, и связывает их).
 

 

Рис. Использование сертификатов

 Алгоритм взаимодействия:

  1. УЦ генерит закрытый и открытый ключ
  2. УЦ создает самоподписанный сертификат (свой открытый ключ, свои данные подписывает своим закрытым ключом)
  3. пользователь генерит закрытый и открытый ключ
  4. создает запрос на сертификат содержащий открытый ключ и сопроводительную информацию о владельце (ФИО, должность и т.д.)
  5. посылает запрос в УЦ
  6. УЦ создает сертификат из запроса и подписывает его ЭЦП
  7. УЦ выкладывает сертификат пользователя в открытом доступе
  8. пользователь получает (защищенным от подмены способом) самоподписанный сертификат УЦ
  9. пользователь берет сертификаты других пользователей из открытой базы
  10. начинается защищенный обмен между пользователями

 

Функции УЦ:

  1. вносить сертификат в реестр сертификатов.
  2. обеспечивать выдачу сертификата обратившимся  к  нему участникам информационных систем.
  3. приостанавливать действие сертификата по обращению его владельца.
  4. уведомлять владельца сертификата о фактах которые существенным образом могут сказаться на возможности дальнейшего использования  сертификата.
  5. выпускать список отозванных сертификатов (СОС)

 


Рис. Защищенный обмен между тремя пользователями 

 

Иерархическая ИОК

http://ru.wikipedia.org/wiki/Инфраструктура_открытых_ключей

Иерархическая структура – это наиболее часто встречающаяся архитектура ИОК. Во главе всей структуры стоит один Корневой УЦ, которому все доверяют и ему подчиняются нижестоящие УЦ.

Пример иерархической структуры:

  1. корневой УЦ страны
  2. региональные УЦ
  3. городские УЦ 

Рис. Пример цепочки доверия

 

 

Рис. Алгоритм проверки сертификата

Последнее изменение: понедельник, 12 марта 2012, 23:02