Инфраструктура на јавниот клуч

Инфраструктура на јавниот клуч претставува збир на хардвер, софтвер, луѓе, политика, и процедури потребни за создавање, управување, дистрибуирате, употреба, чување, и одземање на дигитални сертификати.^[1]

Дијаграм на инфраструктурата на јавниот клуч

Во криптографија PKI е аранжман кој ги врзува јавните клучеви со соодветните кориснички идентитети со помош на сертификатот за авторитер. Корисничкиот идентитет мора да биде единствен во рамките на certificate authority доменот. Врзувањата се воспоставуваат преку регистрација и issuance process, кое зависи од нивото на осигурување кое го има врзувањето, може да се изврши од страна на софтвер од страна на CA, или пак под човечки надзор. PKI има улога да увери дека ова поврзување е наречено Registration Authority (RA). RA уверува дека јавниот клуч е врзан за поединецот на кој му е доделен на начин на обезбедување non-repudation. Поимот trusted third party (TTP) може да биде употребен за certificate authority (CA). Поимот PKI понекогаш погрешно се користи за означување public keys algorithms, кои не бараат употреба од CA.

Терминот доверливост од трета страна или trusted third party (TTP) исто така може да се користи кај сертификати за авторитет (CA). Поимот јавен клуч понекогаш погрешно се користи за означување алгоритми за јавни клучеви или public keys algorithms, кои не бараат употреба од CA.

Преглед уреди

Заштитата јавен клуч е криптографска техника која им овозможува на корисниците безбедно да комуницираат на небезбедна јавна мрежа, и со сигурност да го верифицираат идентитетот на корисникот преку дигитални потписи.^[2] Инфраструктурата на јавниот клуч е систем за создавање, складирање и дистрибуција на дигитални сертификати кои се употребуваат за потврда дека одредени јавни клучеви припаѓаат на одредена заедница. Јавниот клуч создава дигитални сертификати кои ги мапира јавните клучеви во целина, безбедно чувајки ги овие сертификати во централното складиште, и ги отповикува назад ако се потребни.^[3]^[4]^[5] Инфрастуктурата на јавниот клуч се состои од:^[4]^[6]^[7]

A Сертификати за афторитет која и двете ги верификува како дигитални сертификати
A Регистарски авторитет кој го верификува идентитетот на корисникот по барање на CA
A Централен директориум е безбедна локација на која се зачувуваат index keys
A Сертификат за управување со системотПредлошка:Clarify

Методи на сертификација уреди

Генерално кажано, има 3 пристапи за добивање на довербата: Certificate Authorities (CAs), Web of Trust (WoT), и Simple public key infrastructure (SPKI).^{[се бара извор]}

Издавачи на сертификати уреди

Примарната улога на CA е дигитално да се потпишат и да го објават јавниот клуч врзани за даден корисник. Ова е направено со употреба на приватниот клуч на CA, и довербата на корисничкиот клуч се потпира на еден доверба на валидноста CA клучот. Механизмот кој ги врзува клучевите со корисникот е наречен регистрација за авторитет или Registration Authority (RA), со кој може или не може да се раздели од CA. Врзувањето клуч-корисник е воспоставено, засновано на нивото на осигурување што го има поврзувањето, без разлика дали е од софтвер или под надзор од човек.^{[се бара извор]}

Поимот trusted third party (TTP) може да биде употребено за (CA). Повеќе пати, јавниот клуч само по себе употребува синоним за имплементација за CA.^{[се бара извор]}

Привремени сертификати сам најавен уреди

Овој пристап инволвира опслужувач кој работи како онлајн сертификат авторитет со single sign-on систем. Со single sign-on опслужувач ќе внесе дигитални сертификати во системот на клиентот,но никогаш не ги зачувува. Корисниците можат да стопираат програми, итн. со моментален сертификат. Ова е неопходно да се пронајдат различни решение за со x.509 засновани сертификати.^[8]

Веб доверба уреди

Алтернативен пристап до проблемот со јавна авторизација на информации на јавниот клуч е шемата мрежа на доверба, која употребува само потпишаниcertificates сертификати и потврда од трета страна за сертификатите. Единечниот поим Мрежа на доверба не го имплементира постоењето на единствена мрежа на доверба, или земено точка на доверба, туку една од било кој број на потенцијални disjoint "мрежи на доверба". Примери за имплементација на овој пристап се PGP (Pretty Good Privacy) и GnuPG (имплементација од OpenPGP, стандардизирана спецификација на PGP). Бидејќи PGP и имплементациите дозволуваат употреба на e-mail дигитален потпис за self-publication од информациите за јавните клучеви, тоа е релативно лесно да се имплементира сопствена веб доверба.^{[се бара извор]} Една од придобивките од Мрежа на доверба , како што е PGP, е тоа што може внатрешно да функционираат со PKI CA целосно сигурните делови во домеинот ( како интерна CA во компанијата) која е желна да ги гарантира сертификатите, како сигурен претставник. Ако мрежата на доверба е целосно сигурна, и бидејќи од самата природа на мрежата на доверба, осигурување еден сертификат е доделување доверба кон сите сертификати на таа мрежа. PKI вреди единствено како стандард и практики кои го контролираат издавањето на сертификати вклучувајќи го PGP или лично избрана мрежа на доверба може значително да ја намали сигурноста на тоа enterprise’s or domain’s implementation of PKI.^[9]

Концептот “Мрежа од Доверба” за првпат беше изнесена од страна на PGP основачот Phil Zimmermann во 1992 како прирачник за употреба на PGP 2.0 верзијата.

As time goes on, you will accumulate keys from other people that you may want to designate as trusted introducers. Everyone else will each choose their own trusted introducers. And everyone will gradually accumulate and distribute with their key a collection of certifying signatures from other people, with the expectation that anyone receiving it will trust at least one or two of the signatures. This will cause the emergence of a decentralized fault-tolerant web of confidence for all public keys.

^{[се бара извор]}

Едноставен јавен клуч уреди

Друга алтернатива, која не бара дозвола за авторизација на информациите од јавните клучеви, е единствениот јавен клуч (SPKI), која порасна поради надминуванјето на проблемите со комплексноста на X.509 и PGP мрежата на доверба. SPKI не associate корисници со луѓе, бидејќи клучот е во што се сигурни, а не во човекот. SPKI не употребува никаков поим на доверба, верификаторот е исто така издавач. Ова се нарекува "дозволен циклус" во терминологијата на SPKI, каде авторизацијата е составен дел од неговиот дизајн.^{[се бара извор]}

Историја уреди

Концептите за употреба на јавниот клуч беа откриени од страна на научниците Јаmes H. Ellis и British GCHQ во 1969 година. По откривањето и комерцијална употреба на јавниот клуч од страна на Rivest, Shamir, Diffie и други GCHQ британската влада го смета за успешно во рамките на оваа област и го пушта во употреба. Сепак ненавременото објавување на Spycatcher владата издаде ред за молк за целосните детали за GCHQ чии достигнувања никогаш не беа откриени.^{[се бара извор]}

На јавната објава на двата безбедносни клуча и асиметричниот алгоритам во 1976 година од страна на Diffie, Hellman, Rivest, Shamir, и Adleman со оваа промена комуникацијата ја направија да биде безбедна во целост. Со понатамошниот развој на високата брзина на дигиталните електронски комуникации (Интернет и неговите претходници), потребата стана јасна за начиотн на кои корисниците ќе може безбедно да комуницираат едни со други, начини на кои корисниците може да биде сигурен со кого тие всушност вршат интеракција. Избрани криптографски протокли биле измислени и анализирани кон новита примитивна криптографија кој би можеле да ги користат. Со пронаоѓањето на World Wide Web и неговото брзо ширење, пшотребата за комуникација стана уште поакутна. Само комерцијалните причини (пример: е-бизнис on-line пристап до база на податоци од web браузери и слично) беа доволни. Taher Elgamal и другите од Нетскејп развија SLL протокол (https во веб URL). Toa вклучува претставување на клучот автентикација на опслужувачот (prior to v3 one-way only), и слично. PKI структурата е создадена за веб корисниците/ страните со цел за безбедна комуникација.^{[се бара извор]}

Продавачите и претприемачите видоа огромна можност за голем бизнис, основаа компании (или нови проект на постоечки компании), и почнаа да агитираат за легално препознавање и заштита од одговорности. Американска Адвокатска Асоцијација објави анализи од некои предвидливи аскпекти на операциите на PKI (види ABA упатство за дигитални потписи ABA digital signature guidelines), кратко потоа, неколку Соединети држави (прва беше Јута во 1995) и други надлежности ширум светот, почна да владеат закони и да се донесуваат регулативи. Се покренаа прашања од страна на купувачите за приватноста.^{[се бара извор]}

Донесените закони и регулативи се разликуваа, имаше технички и опеарциски проблеми во претворајки ги PKI шемите во успешни комерцијални операции, а пргресот беше далеку поспор отколку што пионерите можеа и да замислат дека ќе биде.^{[се бара извор]}

Првите неколку години од 21-от век основниот криптографско инженерство не беше лесно коректно да се развие. Операциските процедури (рачни или автоматски ) не беше лесно коректно да се дизајнираат (дури ни кога се дизајнирани, за префектно за се извршуваат како што бара инженерството.) Стандардите кои постојат беа недоволни.^{[се бара извор]}

PKI продавачите си најдоа маркет, но тоа не е тој маркет предвиден во средината на 90-тите, и растат заедно многу споро а во некои различни патеки од очекуваните.^[10] PKI не решија некои проблеми кои се очекуваа да ги решат, и неколку големи продавачи си заминаа од бизнисот или беа препуштени на други. PKI имаше најголем успех во владината имплементација, најголема PKI имплементација до денес е Агенција за Одбранбен Информациски СистемDefense Information Systems Agency (DISA) Инфраструктурата на PKI за програми со често пристапувани картички.^{[се бара извор]}

Безбедносно прашање уреди

Примери уреди

Encryption and/or sender authentication of e-mail messages (e.g., using OpenPGP or S/MIME).
Encryption and/or authentication of documents (e.g., the XML Signature [2] or XML Encryption [3] standards if documents are encoded as XML).
Authentication of users to applications (e.g., smart card logon, client authentication with SSL). There's experimental usage for digitally signed HTTP authentication in the Enigform and mod openpgp projects.
Bootstrapping secure communication protocols, such as Internet key exchange (IKE) and SSL. In both of these, initial set-up of a secure channel (a "security association") uses asymmetric key (a.k.a. public key) methods, whereas actual communication uses faster symmetric key (a.k.a. secret key) methods.
Mobile signatures^[11] are electronic signatures that are created using a mobile device and rely on signature or certification services in a location independent telecommunication environment.
Universal Metering Interface (UMI) an open standard, originally created by Cambridge Consultants for use in Smart Metering devices/systems and home automation, uses a PKI infrastructure for security.

Терминологија уреди

CA: Certificate authority
TTP: Trusted third party

Наводи уреди

↑ "LPKI - A Lightweight Public Key Infrastructure for the Mobile Environments", Proceedings of the 11th IEEE International Conference on Communication Systems (IEEE ICCS'08), pp.162-166, Guangzhou, China, Nov. 2008.
↑ Adams, Carlisle & Lloyd, Steve (2003). Understanding PKI: concepts, standards, and deployment considerations. Addison-Wesley Professional. стр. 11–15. ISBN 9780672323911.CS1-одржување: повеќе имиња: список на автори (link)
↑ Trček, Denis (2006). Managing information systems security and privacy. Birkhauser. стр. 69. ISBN 9783540281030.
↑ ^4,0 ^4,1 Vacca, Jhn R. (2004). Public key infrastructure: building trusted applications and Web services. CRC Press. стр. 8. ISBN 9780849308222.
↑ Viega, John; и др. (2002). Network Security with OpenSSL. O'Reilly Media. стр. 61–62. ISBN 9780596002701.
↑ McKinley, Barton (January 17, 2001). „The ABCs of PKI: Decrypting the complex task of setting up a public-key infrastructure“. Network World. Архивирано од изворникот на 2012-05-29. Посетено на 2012-02-07.
↑ Al-Janabi, Sufyan T. Faraj; и др. (2012). „Combining Mediated and Identity-Based Cryptography for Securing Email“. Во Ariwa, Ezendu (уред.). Digital Enterprise and Information Systems: International Conference, Deis, [...] Proceedings. Springer. стр. 2–3.
↑ Single Sign-On Technology for SAP Enterprises: What does SAP have to say? [1] Архивирано на 16 јули 2011 г.
↑ Ed Gerck, Overview of Certification Systems: x.509, CA, PGP and SKIP, in The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf and http://mcwg.org/mcg-mirror/cert.htm Архивирано на 5 септември 2008 г.
↑ Stephen Wilson, Dec 2005, "The importance of PKI today" Архивирано на 22 ноември 2010 г., China Communications, Посетено на 2010-12-13
↑ Mark Gasson, Martin Meints, Kevin Warwick (2005), D3.2: A study on PKI and biometrics, FIDIS deliverable (3)2, July 2005

Надворешни врски уреди

PKI tutorial, Peter Gutmann
PKI Tutorial using Fingerpuppets Архивирано на 22 јули 2012 г.
PKIX workgroup
Easing the PAIN — a detailed explanation of PKI Privacy, Authentication, Integrity and Non-repudiation (PAIN)
NIST PKI Program Архивирано на 24 ноември 2005 г. — in which the National Institute of Standards and Technology (NIST) is attempting to develop a public key infrastructure
Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure by C. Ellison and B. Schneier
- Response to Ten Risks by A. Perez
- Seven and a Half Non-risks of PKI Архивирано на 17 јули 2012 г. by B. Laurie
The Inevitable Collapse of the Certificate Model Архивирано на 22 јули 2012 г. by Hagai Bar-El

Предлошка:Crypto navbox

[1] "LPKI - A Lightweight Public Key Infrastructure for the Mobile Environments", Proceedings of the 11th IEEE International Conference on Communication Systems (IEEE ICCS'08), pp.162-166, Guangzhou, China, Nov. 2008.

[2] Adams, Carlisle & Lloyd, Steve (2003). Understanding PKI: concepts, standards, and deployment considerations. Addison-Wesley Professional. стр. 11–15. ISBN 9780672323911.CS1-одржување: повеќе имиња: список на автори (link)

[3] Trček, Denis (2006). Managing information systems security and privacy. Birkhauser. стр. 69. ISBN 9783540281030.

[Vacca-2004-p8-4] 4,0 ^4,1 Vacca, Jhn R. (2004). Public key infrastructure: building trusted applications and Web services. CRC Press. стр. 8. ISBN 9780849308222.

[5] Viega, John; и др. (2002). Network Security with OpenSSL. O'Reilly Media. стр. 61–62. ISBN 9780596002701.

[ABCs-of-PKI-6] McKinley, Barton (January 17, 2001). „The ABCs of PKI: Decrypting the complex task of setting up a public-key infrastructure“. Network World. Архивирано од изворникот на 2012-05-29. Посетено на 2012-02-07.

[7] Al-Janabi, Sufyan T. Faraj; и др. (2012). „Combining Mediated and Identity-Based Cryptography for Securing Email“. Во Ariwa, Ezendu (уред.). Digital Enterprise and Information Systems: International Conference, Deis, [...] Proceedings. Springer. стр. 2–3.

[8] Single Sign-On Technology for SAP Enterprises: What does SAP have to say? [1] Архивирано на 16 јули 2011 г.

[Overview-9] Ed Gerck, Overview of Certification Systems: x.509, CA, PGP and SKIP, in The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf and http://mcwg.org/mcg-mirror/cert.htm Архивирано на 5 септември 2008 г.

[10] Stephen Wilson, Dec 2005, "The importance of PKI today" Архивирано на 22 ноември 2010 г., China Communications, Посетено на 2010-12-13

[11] Mark Gasson, Martin Meints, Kevin Warwick (2005), D3.2: A study on PKI and biometrics, FIDIS deliverable (3)2, July 2005

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]