Курсова работа по мрежова сигурност - Certification authority


Категория на документа: Информатика


• Публикуване на ключовете - PKI предлага добре дефиниран способ за всеки желаещ да намери и използва даден публичен ключ, както и информация за валидността на даден ключ.
• Използване на ключовете - PKI включва и набор от приложения, използващи ключове за криптиране и подписване на данните за обмен.

Основните елементи, които изграждат една PKI са Certification Authority, Registration Authority (RA) и публично достъпни хранилища за списъка с анулирани сертификати (Certificate Revocation List).

Цифровият сертификат е сертификат, който използва цифров подпис, за да свърже публичния ключ с набор от атрибути, между които е и името на собственика на сертификата, адрес и др., както и срок за валидност на този ключ.И тъй като сертификатът е един вид паспорт за своя собственик, много е важно всеки, който има достъп до този сертификат, да бъде убеден в неговата достоверност. Ето защо всеки сертификат съдържа информация за това кой го е издал. По този начин, когато даден сертификат се чете за извличане на публичния ключ или името на собственика, се проверява и коя организация го е издала. Ако организацията е в списъка от организации, на които потребителят се доверява, сертификатът "се признава" за валиден. В противен случай сертификатът е безполезен за четящия. С други думи, ползването на цифрови сертификати е много подобно на използването на идентификационните документи в реалния живот, които също трябва да бъдат издадени от оторизирани организации.
На практика, цифровия сертификат е структура от данни подчиняваща се на X.509 стандарта, съдържащ в себе си цифров подпис и друга важна информация.

X.509 е спецификация, използвана в целия свят и всяко приложение, работещо с този стандарт , може да поделя сертификати.Стандартът не задължава, но препоръчва използването на RSA7 алгоритъма.В сърцето на X.509 седи публичния ключ асоцииран с потребител.Той съдържа следните компоненти:

Lightweight Directory Access Protocol (LDAP)- първоначално е бил олекотена версия на X.500 Directory Access Protocol, но сега вече е предпочитан от много организации.Важна негова характеристика, е че улеснява комуникацията между хората, съхранявайки информация за хора, организации, групи и др.Може да съхранява информация от всякакъв вид: email, адрес, fax, телефон,снимки,конфиденциална информация и др.
Даден клиент може да се свърже, модифицира, добавя и трие от LDAP, но не може да прави операции като транзакции, множествени заявки, изгледи и връзки към други таблици.Но за сметка на това протокола е по-бърз, по-евтин , по-лесен за работа с него.

S/MIME(Secure/Multi-purpose Internet Mail Extension) базиран на технологии от RSA Data Security.Той предлага следните възможности: подписва и криптира съобщения и обвива информацията (enveloped data).

Certification Authority (CA) е организация или компания, която е упълномощена да издава цифрови сертификати.Тя носи отговорност за легитимността на издадените сертификати, т.е. тя удостоверява, че публичния ключ, който се съдържа в сертификата, наистина принадлежи на човека или организацията, записана в сертификата, а не на някой измамник.Идеята е, че ако даден потребител вярва на CA и може да верифицира подписа й, то тогава той също може да е сигурен, че даден публичен ключ наистина принадлежи на този, които е идентифициран в сертификата.Тя управлява листа с отказаните и подновените сертификати.За една CA е важно да има стабилна, лесно променяща се,гъвкава архитектура.

Има два вида CA.

* Частната CA е отговорна за издаването на сертификати само на членове на собствената си организация, както и обратно: единствените потребители които й имат доверие са нейните членовете. Идеална е за корпоративни мрежи. Например, една компания може да изгради собствена CA за email, използвайки S/MIME като стандарт за криптиране и автентификация на съобщенията. Компанията ще издава сертификати на всеки работник, както и всеки работник ще конфигурира S/MIME съвместимия си email клиент, да разпознава фирмените сертификати. За частната CA верификацията на идентичността е прост и ясен процес, защото в дадена корпоративна среда, работниците са известни и могат да се идентифицират лесно чрез информацията предоставена от отдел човешки ресурси. В такъв случай, отдел човешки ресурси играе ролята на Registration Authority (RA).

* Публичната CA издава сертификати на външни за компанията потребители. Степента на сигурност зависи от вида на CA, която е издала сертификата, и от типа на сертификата.Такива CAs са например Entrust, Verisign, Geotrust и др.

CA трябва да се ползва с доверието на потребителите, поради тази причина публичния ключ трябва да се широко достъпен. При публичните CAs, в повечето случаи, сертификатите се публикуват, така че всеки да има достъп до тях. Най-често web browser съдържат сертификатите, а в случаите когато те липсват, предоставя лесен начин за тяхното добавяне.

Обикновено публичната CA издава сертификати за общодостъпни web sites, изискващи криптиране и/или автентификация, често за електронна търговия, в която клиентска информация трябва да бъде изпратена безопасно. За такива операции е от съществена важност, клиента да изпрати информацията си до сайта, без да се тревожи че някои друг може да има достъп до нея.

За публичната CA, верификацията е значително по-труден процес, отколкото за частната CA. Информацията изисквана от субекта за доказване на неговата самоличност варира в зависимост от това дали той е частно или юридическо лице. За частно лице информацията може да е просто фотокопие на личната карта, докато за юридическо лице е необходим документ доказващ правото му да използва това име.

Независимо че повечето публични CA предлагат техните услуги срещу заплащане, те носят реална отговорност. Разбира се, не могат да предложат абсолютни гаранции, но за да бъде една CA наистина добра е необходимо да се ползва с доверието на потребителите. В противен случай няма да се задържи за дълго в подобен бизнес.

Registration Authority (RA) осъществява регистрацията на потребител и изпраща на CA заявка за издаване или отхвърляне на сертификат.Тя не се занимава с издаване на сертификати. RA разглежда подадените молби за издаване на сертификати като проверява предоставената информация.

Ситуацията в България

Стратегия за развитие на информационното общество през март 1999 г., подчертава нуждата от нормативно регламентиране на електронния подпис - Законодателната уредба трябва да насърчава електронната търговия и услугите на ИО, като даде отговор на въпроси като:
- дали изразеното волеизявление има правна стойност;
- дали положеният електронен подпис удовлетворява изискванията на правото;
- дали подписаният с електронни подписи документ представлява доказателствено средство пред съда.

Бяха изработвани няколко законопроекта докато се стигне до решението на МС от 13 октомври за внасянето на настоящия законопроект в НС. В него е отчетен опитът на всички държави в областта на високите технологии.

Законопроектът е изцяло съобразен с основните положения на Директива 1999/93/ЕС на Европейския парламент и Съвета на Европа от 13 декември 1999 г. относно рамката на Общността върху електронните подписи (в сила от 20 януари 2000 г.), както и с редица от успешно прилаганите вече законодателни решения в други страни.

Предметът на закона обхваща уредбата на електронния подпис, електронния документ и условията и редът за предоставяне на удостоверителни услуги.

Преди приемането на закона за Електронният подпис, доставчик на удостоверителни услуги е била Българската Стопанска Камара, която е предоставяла услугата чрез Белгиската GlobalSign. БСК не разполага със собствен център за издаване на сертификати за електронен подпис.

Комисията за регулиране на съобщенията (КРС) е регистрирала до момента два доставчика на удостоверителни услуги (ДУУ) за универсален електронен подпис.

№ по



Сподели линка с приятел:





Яндекс.Метрика
Курсова работа по мрежова сигурност - Certification authority 9 out of 10 based on 2 ratings. 2 user reviews.