Инфраструктура на јавниот клуч

Од Википедија, слободната енциклопедија
Прејди на: содржини, барај
Дијаграм на инфраструктурата на јавниот клуч

Инфраструктура на јавниот клуч преставува збир на хардвер, софтвер, луѓе, политика, и процедури потребни за креирање, управување, дистрибуирате, употреба, чување, и одземање на дигитални сертификати.[1]

Во криптографија PKI е аранжман кој ги врзува јавните клучеви со соодветните кориснички идентитети со помош на сертификатот за авторитер. Корисничкиот идентитет мора да биде единствен во рамките на certificate authority доменот. Врзувањата се воспоставуваат преку регистрација и issuance process, кое зависи од нивото на осигурување кое го има врзувањето, може да се изврши од страна на софтвер од страна на CA, или пак под човечки надзор. PKI има улога да увери дека ова поврзување е наречено Registration Authority (RA). RA уверува дека јавниот клуч е врзан за поединецот на кој му е доделен на начин на обезбедување non-repudation. Поимот trusted third party (TTP) може да биде употребен за certificate authority (CA). Поимот PKI понекогаш погрешно се користи за означување public keys algorithms, кои не бараат употреба од CA.

Терминот доверливост од трета страна или trusted third party (TTP) исто така може да се користи кај сертификати за авторитет (CA). Поимот јавен клуч понекогаш погрешно се користи за означување алгоритми за јавни клучеви или public keys algorithms, кои не бараат употреба од CA.

Преглед[уреди]

Заштитата јавен клуч е криптографска техника која им овозможува на корисниците безбедно да комуницираат на небезбедна јавна мрежа, и со сигурност да го верифицираат идентитетот на корисникот преку дигитални потписи.[2] Инфраструктурата на јавниот клуч е систем за креирање, складирање и дистрибуција на дигитални сертификати кои се употребуваат за потврда дека одредени јавни клучеви припагаат на одредена заедница. Јавниот клуч креира дигитални сертификати кои ги мапира јавните клучеви во целина, безбедно чувајки ги овие сертификати во централното складиште, и ги отповикува назад ако се потребни.[3][4][5] Инфрастуктурата на јавниот клуч се состои од:[4][6][7]

  • A Cертификати за афторитет која и двете ги верификува како дигитални сертификати
  • A Регистарски авторитет кој го верификува идентитетот на корисникот по барање на CA
  • A Централен директориум е безбедна локација на која се зачувуваат index keys
  • A Сертификат за управување со системотШаблон:Clarify

Методи на сертификација[уреди]

Генерално кажано, има 3 пристапи за добивање на довербата: Certificate Authorities (CAs), Web of Trust (WoT), и Simple public key infrastructure (SPKI).[се бара извор]

Издавачи на сертификати[уреди]

Примарната улога на CA е дигитално да се потпишат и да го објават јавниот клуч врзани за даден корисник. Ова е направено со употреба на приватниот клуч на CA, и довербата на корисничкиот клуч се потпира на еден доверба на валидноста CA клучот. Механизмот кој ги врзува клучевите со корисникот е наречен регистрација за авторитет или Registration Authority (RA), со кој може или не може да се раздели од CA. Врзувањето клуч-корисник е воспоставено, базирано на нивото на осигурување што го има поврзувањето, без разлика дали е од софтвер или под надзор од човек.[се бара извор]

Поимот trusted third party (TTP) може да биде употребено за (CA). Повеке пати, јавниот клуч само по себе употребува синоним за имплементација за CA.[се бара извор]

Привремени сертификати сам најавен[уреди]

Овој пристап инволвира сервер кој работи како онлајн сертификат авторитет со single sign-on систем. Со single sign-on сервер ке внесе дигитални сертификати во системот на клиентот,но никогаш не ги зачувува. Корисниците можат да стопираат програми, итн. со моментален сертификат. Ова е неопходно да се пронајдат различни решение за со x.509 базирани сертификати.[8]

Веб доверба[уреди]

Crystal Clear app xmag.svg Главна статија: „Web of trust.

Алтернативен пристап до проблемот со јавна авторизација на информации на јавниот клуч е шемата мрежа на доверба, која употребува само потпишаниcertificates сертификати и потврда од трета страна за сертификатите. Единечниот поим Мрежа на доверба не го имплементира постоењето на единствена мрежа на доверба, или земено точка на доверба, туку една од било кој број на потенцијални disjoint "мрежи на доверба". Примери за имплементација на овој пристап се PGP (Pretty Good Privacy) и GnuPG (имплементација од OpenPGP, стандардизирана спецификација на PGP). Бидејки PGP и имплементациите дозволуваат употреба на e-mail дигитален потпис за self-publication од информациите за јавните клучеви, тоа е релативно лесно да се имплементира сопствена веб доверба.[се бара извор] Една од придобивките од Мрежа на доверба , како што е PGP, е тоа што може внатрешно да функционираат со PKI CA целосно сигурните делови во домеинот ( како интерна CA во компанијата) која е желна да ги гарантира сертификатите, како сигурен претставник. Ако мрежата на доверба е целосно сигурна, и бидејки од самата природа на мрежата на доверба, осигурување еден сертификат е доделување доверба кон сите сертификати на таа мрежа. PKI вреди единствено како стандард и практики кои го контролираат издавањето на сертификати вклучувајки го PGP или лично избрана мрежа на доверба може значително да ја намали сигурноста на тоа enterprise’s or domain’s implementation of PKI.[9]

Концептот “Мрежа од Доверба” за првпат беше изнесена од страна на PGP основачот Phil Zimmermann во 1992 како прирачник за употреба на PGP 2.0 верзијата.

As time goes on, you will accumulate keys from other people that you may want to designate as trusted introducers. Everyone else will each choose their own trusted introducers. And everyone will gradually accumulate and distribute with their key a collection of certifying signatures from other people, with the expectation that anyone receiving it will trust at least one or two of the signatures. This will cause the emergence of a decentralized fault-tolerant web of confidence for all public keys.


[се бара извор]

Едноставен јавен клуч[уреди]

Друга алтернатива, која не бара дозвола за авторизација на информациите од јавните клучеви, е единствениот јавен клуч (SPKI), која порасна поради надминуванјето на проблемите со комплексноста на X.509 и PGP мрежата на доверба. SPKI не associate корисници со луге, бидејки клучот е во што се сигурни, а не во човекот. SPKI не употребува никаков поим на доверба, верификаторот е исто така издавач. Ова се нарекува "дозволен циклус" во терминологијата на SPKI, каде авторизацијата е составен дел од неговиот дизајн.[се бара извор]

Историја[уреди]

Концептите за употреба на јавниот клуч беа откриени од страна на научниците Јames H. Ellis и British GCHQ во 1969 година. По откривањето и комерцијална употреба на јавниот клуч од страна на Rivest, Shamir, Diffie и други GCHQ британската влада го смета за успешно во рамките на оваа област и го пушта во употреба. Сепак ненавременото објавување на Spycatcher владата издаде ред за молк за целосните детали за GCHQ чии достигнувања никогаш не беа откриени.[се бара извор]

На јавната објава на двата безбедносни клуча и асиметричниот алгоритам во 1976 година од страна на Diffie, Hellman, Rivest, Shamir, и Adleman со оваа промена комуникацијата ја направија да биде безбедна во целост. Со понатамошниот развој на високата брзина на дигиталните електронски комуникации (Интернет и неговите претходници), потребата стана јасна за начиотн на кои корисниците ке може безбедно да комуницираат едни со други, начини на кои корисниците може да биде сигурен со кого тие всушност вршат интеракција. Избрани криптографски протокли биле измислени и анализирани кон новита примитивна криптографија кој би можеле да ги користат. Со пронаоѓањето на World Wide Web и неговото брзо ширење, пшотребата за комуникација стана уште поакутна. Само комерцијалните причини (пример: е-бизнис on-line пристап до база на податоци од web браузери и слично) беа доволни. Taher Elgamal и другите од Нетскејп развија SLL протокол (https во веб URL). Toa вклучува претставување на клучот автентикација на серверот (prior to v3 one-way only), и слично. PKI структурата е креирана за веб корисниците/ страните со цел за безбедна комуникација.[се бара извор]

Продавачите и претприемачите видоа огромна можност за голем бизнис, основаа компании (или нови проект на постоечки компании), и почнаа да агитираат за легално препознавање и заштита од одговорности. Американска Адвокатска Асоцијација објави анализи од некои предвидливи аскпекти на операциите на PKI (види ABA упатство за дигитални потписи ABA digital signature guidelines), кратко потоа, неколку Соединети држави (прва беше Јута во 1995) и други надлежности ширум светот, почна да владеат закони и да се донесуваат регулативи. Се покренаа прашања од страна на купувачите за приватноста.[се бара извор]

Донесените закони и регулативи се разликуваа, имаше технички и опеарциски проблеми во конвертирајки ги PKI шемите во успешни комерцијални операции, а пргресот беше далеку поспор одколку што пионерите можеа и да замислат дека ќе биде.[се бара извор]

Првите неколку години од 21-от век основниот криптографски инжињеринг не беше лесно коректно да се развие. Операциските процедури (рачни или автоматски ) не беше лесно коректно да се дизајнираат (дури ни кога се дизајнирани, за префектно за се извршуваат како што бара инжењерството.) Стандардите кои постојат беа недоволни.[се бара извор]

PKI прoдавачите си најдоа маркет, но тоа не е тој маркет предвиден во средината на 90-тите, и растат заедно многу споро а во некои различни патеки од очекуваните.[10] PKI не решија некои проблеми кои се очекуваа да ги решат, и неколку големи продавачи си заминаа од бизнисот или беа препуштени на други. PKI имаше најголем успех во владината имплементација, најголема PKI имплементација до денес е Агенција за Одбранбен Информационен СистемDefense Information Systems Agency (DISA) Инфраструктурата на PKI за програми со често пристапувани картички.[се бара извор]

Безбедносно прашање[уреди]

Примери[уреди]

Терминологија[уреди]

Наводи[уреди]

  1. "LPKI - A Lightweight Public Key Infrastructure for the Mobile Environments", Proceedings of the 11th IEEE International Conference on Communication Systems (IEEE ICCS'08), pp.162-166, Guangzhou, China, Nov. 2008.
  2. Adams, Carlisle & Lloyd, Steve (2003). „Understanding PKI: concepts, standards, and deployment considerations“. Addison-Wesley Professional. стр. 11-15. ISBN 9780672323911. http://books.google.com/books?id=ERSfUmmthMYC&pg=PA11. 
  3. Trček, Denis (2006). „Managing information systems security and privacy“. Birkhauser. стр. 69. ISBN 9783540281030. http://books.google.com/books?id=oswvyhAftLsC&pg=PA69. 
  4. 4,0 4,1 Vacca, Jhn R. (2004). „Public key infrastructure: building trusted applications and Web services“. CRC Press. стр. 8. ISBN 9780849308222. http://books.google.com/books?id=3kS8XDALWWYC&pg=PA8. 
  5. Viega, John et al. (2002). „Network Security with OpenSSL“. O'Reilly Media. стр. 61-62. ISBN 9780596002701. http://books.google.com/books?pg=PT61. 
  6. McKinley, Barton. „The ABCs of PKI: Decrypting the complex task of setting up a public-key infrastructure“, „Network World“, 17 јануари 2001.
  7. Al-Janabi, Sufyan T. Faraj et al. (2012). „Combining Mediated and Identity-Based Cryptography for Securing Email“. Ariwa, Ezendu et al.. „Digital Enterprise and Information Systems: International Conference, Deis, [...] Proceedings“. Springer. стр. 2-3. http://books.google.com/books?id=s-HVzAc_ZqEC&pg=PA2. 
  8. Single Sign-On Technology for SAP Enterprises: What does SAP have to say? [1]
  9. Ed Gerck, Overview of Certification Systems: x.509, CA, PGP and SKIP, in The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf and http://mcwg.org/mcg-mirror/cert.htm
  10. Stephen Wilson, Dec 2005, "The importance of PKI today", China Communications, Retrieved on 2010-12-13
  11. Mark Gasson, Martin Meints, Kevin Warwick (2005), D3.2: A study on PKI and biometrics, FIDIS deliverable (3)2, July 2005

Надворешни врски[уреди]

Шаблон:Crypto navbox