Инфраструктура на јавниот клуч

Дијаграм на инфраструктурата на јавниот клуч

Инфраструктура на јавниот клуч преставува збир на хардвер, софтвер, луѓе, политика, и процедури потребни за креирање, управување, дистрибуирате, употреба, чување, и одземање на дигитални сертификати.^[1]

Во криптографија PKI е аранжман кој ги врзува јавните клучеви со соодветните кориснички идентитети со помош на сертификатот за авторитер. Корисничкиот идентитет мора да биде единствен во рамките на certificate authority доменот. Врзувањата се воспоставуваат преку регистрација и issuance process, кое зависи од нивото на осигурување кое го има врзувањето, може да се изврши од страна на софтвер од страна на CA, или пак под човечки надзор. PKI има улога да увери дека ова поврзување е наречено Registration Authority (RA). RA уверува дека јавниот клуч е врзан за поединецот на кој му е доделен на начин на обезбедување non-repudation. Поимот trusted third party (TTP) може да биде употребен за certificate authority (CA). Поимот PKI понекогаш погрешно се користи за означување public keys algorithms, кои не бараат употреба од CA.

Терминот доверливост од трета страна или trusted third party (TTP) исто така може да се користи кај сертификати за авторитет (CA). Поимот јавен клуч понекогаш погрешно се користи за означување алгоритми за јавни клучеви или public keys algorithms, кои не бараат употреба од CA.

Преглед[уреди]

Заштитата јавен клуч е криптографска техника која им овозможува на корисниците безбедно да комуницираат на небезбедна јавна мрежа, и со сигурност да го верифицираат идентитетот на корисникот преку дигитални потписи.^[2] Инфраструктурата на јавниот клуч е систем за креирање, складирање и дистрибуција на дигитални сертификати кои се употребуваат за потврда дека одредени јавни клучеви припагаат на одредена заедница. Јавниот клуч креира дигитални сертификати кои ги мапира јавните клучеви во целина, безбедно чувајки ги овие сертификати во централното складиште, и ги отповикува назад ако се потребни.^[3]^[4]^[5] Инфрастуктурата на јавниот клуч се состои од:^[4]^[6]^[7]

A Cертификати за афторитет која и двете ги верификува како дигитални сертификати
A Регистарски авторитет кој го верификува идентитетот на корисникот по барање на CA
A Централен директориум е безбедна локација на која се зачувуваат index keys
A Сертификат за управување со системотШаблон:Clarify

Методи на сертификација[уреди]

Генерално кажано, има 3 пристапи за добивање на довербата: Certificate Authorities (CAs), Web of Trust (WoT), и Simple public key infrastructure (SPKI).^{[се бара извор]}

Издавачи на сертификати[уреди]

Примарната улога на CA е дигитално да се потпишат и да го објават јавниот клуч врзани за даден корисник. Ова е направено со употреба на приватниот клуч на CA, и довербата на корисничкиот клуч се потпира на еден доверба на валидноста CA клучот. Механизмот кој ги врзува клучевите со корисникот е наречен регистрација за авторитет или Registration Authority (RA), со кој може или не може да се раздели од CA. Врзувањето клуч-корисник е воспоставено, базирано на нивото на осигурување што го има поврзувањето, без разлика дали е од софтвер или под надзор од човек.^{[се бара извор]}

Поимот trusted third party (TTP) може да биде употребено за (CA). Повеке пати, јавниот клуч само по себе употребува синоним за имплементација за CA.^{[се бара извор]}

Привремени сертификати сам најавен[уреди]

Овој пристап инволвира сервер кој работи како онлајн сертификат авторитет со single sign-on систем. Со single sign-on сервер ке внесе дигитални сертификати во системот на клиентот,но никогаш не ги зачувува. Корисниците можат да стопираат програми, итн. со моментален сертификат. Ова е неопходно да се пронајдат различни решение за со x.509 базирани сертификати.^[8]

Веб доверба[уреди]

Главна статија: „Web of trust“.

Алтернативен пристап до проблемот со јавна авторизација на информации на јавниот клуч е шемата мрежа на доверба, која употребува само потпишаниcertificates сертификати и потврда од трета страна за сертификатите. Единечниот поим Мрежа на доверба не го имплементира постоењето на единствена мрежа на доверба, или земено точка на доверба, туку една од било кој број на потенцијални disjoint "мрежи на доверба". Примери за имплементација на овој пристап се PGP (Pretty Good Privacy) и GnuPG (имплементација од OpenPGP, стандардизирана спецификација на PGP). Бидејки PGP и имплементациите дозволуваат употреба на e-mail дигитален потпис за self-publication од информациите за јавните клучеви, тоа е релативно лесно да се имплементира сопствена веб доверба.^{[се бара извор]} Една од придобивките од Мрежа на доверба , како што е PGP, е тоа што може внатрешно да функционираат со PKI CA целосно сигурните делови во домеинот ( како интерна CA во компанијата) која е желна да ги гарантира сертификатите, како сигурен претставник. Ако мрежата на доверба е целосно сигурна, и бидејки од самата природа на мрежата на доверба, осигурување еден сертификат е доделување доверба кон сите сертификати на таа мрежа. PKI вреди единствено како стандард и практики кои го контролираат издавањето на сертификати вклучувајки го PGP или лично избрана мрежа на доверба може значително да ја намали сигурноста на тоа enterprise’s or domain’s implementation of PKI.^[9]

Концептот “Мрежа од Доверба” за првпат беше изнесена од страна на PGP основачот Phil Zimmermann во 1992 како прирачник за употреба на PGP 2.0 верзијата.

As time goes on, you will accumulate keys from other people that you may want to designate as trusted introducers. Everyone else will each choose their own trusted introducers. And everyone will gradually accumulate and distribute with their key a collection of certifying signatures from other people, with the expectation that anyone receiving it will trust at least one or two of the signatures. This will cause the emergence of a decentralized fault-tolerant web of confidence for all public keys.

^{[се бара извор]}

Едноставен јавен клуч[уреди]

Друга алтернатива, која не бара дозвола за авторизација на информациите од јавните клучеви, е единствениот јавен клуч (SPKI), која порасна поради надминуванјето на проблемите со комплексноста на X.509 и PGP мрежата на доверба. SPKI не associate корисници со луге, бидејки клучот е во што се сигурни, а не во човекот. SPKI не употребува никаков поим на доверба, верификаторот е исто така издавач. Ова се нарекува "дозволен циклус" во терминологијата на SPKI, каде авторизацијата е составен дел од неговиот дизајн.^{[се бара извор]}

Историја[уреди]

Концептите за употреба на јавниот клуч беа откриени од страна на научниците Јames H. Ellis и British GCHQ во 1969 година. По откривањето и комерцијална употреба на јавниот клуч од страна на Rivest, Shamir, Diffie и други GCHQ британската влада го смета за успешно во рамките на оваа област и го пушта во употреба. Сепак ненавременото објавување на Spycatcher владата издаде ред за молк за целосните детали за GCHQ чии достигнувања никогаш не беа откриени.^{[се бара извор]}

На јавната објава на двата безбедносни клуча и асиметричниот алгоритам во 1976 година од страна на Diffie, Hellman, Rivest, Shamir, и Adleman со оваа промена комуникацијата ја направија да биде безбедна во целост. Со понатамошниот развој на високата брзина на дигиталните електронски комуникации (Интернет и неговите претходници), потребата стана јасна за начиотн на кои корисниците ке може безбедно да комуницираат едни со други, начини на кои корисниците може да биде сигурен со кого тие всушност вршат интеракција. Избрани криптографски протокли биле измислени и анализирани кон новита примитивна криптографија кој би можеле да ги користат. Со пронаоѓањето на World Wide Web и неговото брзо ширење, пшотребата за комуникација стана уште поакутна. Само комерцијалните причини (пример: е-бизнис on-line пристап до база на податоци од web браузери и слично) беа доволни. Taher Elgamal и другите од Нетскејп развија SLL протокол (https во веб URL). Toa вклучува претставување на клучот автентикација на серверот (prior to v3 one-way only), и слично. PKI структурата е креирана за веб корисниците/ страните со цел за безбедна комуникација.^{[се бара извор]}

Продавачите и претприемачите видоа огромна можност за голем бизнис, основаа компании (или нови проект на постоечки компании), и почнаа да агитираат за легално препознавање и заштита од одговорности. Американска Адвокатска Асоцијација објави анализи од некои предвидливи аскпекти на операциите на PKI (види ABA упатство за дигитални потписи ABA digital signature guidelines), кратко потоа, неколку Соединети држави (прва беше Јута во 1995) и други надлежности ширум светот, почна да владеат закони и да се донесуваат регулативи. Се покренаа прашања од страна на купувачите за приватноста.^{[се бара извор]}

Донесените закони и регулативи се разликуваа, имаше технички и опеарциски проблеми во конвертирајки ги PKI шемите во успешни комерцијални операции, а пргресот беше далеку поспор одколку што пионерите можеа и да замислат дека ќе биде.^{[се бара извор]}

Првите неколку години од 21-от век основниот криптографски инжињеринг не беше лесно коректно да се развие. Операциските процедури (рачни или автоматски ) не беше лесно коректно да се дизајнираат (дури ни кога се дизајнирани, за префектно за се извршуваат како што бара инжењерството.) Стандардите кои постојат беа недоволни.^{[се бара извор]}

PKI прoдавачите си најдоа маркет, но тоа не е тој маркет предвиден во средината на 90-тите, и растат заедно многу споро а во некои различни патеки од очекуваните.^[10] PKI не решија некои проблеми кои се очекуваа да ги решат, и неколку големи продавачи си заминаа од бизнисот или беа препуштени на други. PKI имаше најголем успех во владината имплементација, најголема PKI имплементација до денес е Агенција за Одбранбен Информационен СистемDefense Information Systems Agency (DISA) Инфраструктурата на PKI за програми со често пристапувани картички.^{[се бара извор]}

Безбедносно прашање[уреди]

Примери[уреди]

Encryption and/or sender authentication of e-mail messages (e.g., using OpenPGP or S/MIME).
Encryption and/or authentication of documents (e.g., the XML Signature [2] or XML Encryption [3] standards if documents are encoded as XML).
Authentication of users to applications (e.g., smart card logon, client authentication with SSL). There's experimental usage for digitally signed HTTP authentication in the Enigform and mod_openpgp projects.
Bootstrapping secure communication protocols, such as Internet key exchange (IKE) and SSL. In both of these, initial set-up of a secure channel (a "security association") uses asymmetric key (a.k.a. public key) methods, whereas actual communication uses faster symmetric key (a.k.a. secret key) methods.
Mobile signatures^[11] are electronic signatures that are created using a mobile device and rely on signature or certification services in a location independent telecommunication environment.
Universal Metering Interface (UMI) an open standard, originally created by Cambridge Consultants for use in Smart Metering devices/systems and home automation, uses a PKI infrastructure for security.

Терминологија[уреди]

CA: Certificate authority
TTP: Trusted third party

Наводи[уреди]

↑ "LPKI - A Lightweight Public Key Infrastructure for the Mobile Environments", Proceedings of the 11th IEEE International Conference on Communication Systems (IEEE ICCS'08), pp.162-166, Guangzhou, China, Nov. 2008.
↑
1. пренасочување Шаблон:Наведена книга
↑ Trček, Denis (2006). „Managing information systems security and privacy“. Birkhauser. стр. 69. ISBN 9783540281030. http://books.google.com/books?id=oswvyhAftLsC&pg=PA69.
↑ ^4,0 ^4,1 Vacca, Jhn R. (2004). „Public key infrastructure: building trusted applications and Web services“. CRC Press. стр. 8. ISBN 9780849308222. http://books.google.com/books?id=3kS8XDALWWYC&pg=PA8.
↑ Viega, John et al. (2002). „Network Security with OpenSSL“. O'Reilly Media. стр. 61-62. ISBN 9780596002701. http://books.google.com/books?pg=PT61.
↑ McKinley, Barton. „The ABCs of PKI: Decrypting the complex task of setting up a public-key infrastructure“, „Network World“, January 17, 2001.
↑ Al-Janabi, Sufyan T. Faraj et al. (2012). „Combining Mediated and Identity-Based Cryptography for Securing Email“. Ariwa, Ezendu et al.. „Digital Enterprise and Information Systems: International Conference, Deis, [...] Proceedings“. Springer. стр. 2-3. http://books.google.com/books?id=s-HVzAc_ZqEC&pg=PA2.
↑ Single Sign-On Technology for SAP Enterprises: What does SAP have to say? [1]
↑ Ed Gerck, Overview of Certification Systems: x.509, CA, PGP and SKIP, in The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf and http://mcwg.org/mcg-mirror/cert.htm
↑ Stephen Wilson, Dec 2005, "The importance of PKI today", China Communications, Retrieved on 2010-12-13
↑ Mark Gasson, Martin Meints, Kevin Warwick (2005), D3.2: A study on PKI and biometrics, FIDIS deliverable (3)2, July 2005

Надворешни врски[уреди]

PKI tutorial, Peter Gutmann
PKI Tutorial using Fingerpuppets
PKIX workgroup
Easing the PAIN — a detailed explanation of PKI Privacy, Authentication, Integrity and Non-repudiation (PAIN)
NIST PKI Program — in which the National Institute of Standards and Technology (NIST) is attempting to develop a public key infrastructure
Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure by C. Ellison and B. Schneier
- Response to Ten Risks by A. Perez
- Seven and a Half Non-risks of PKI by B. Laurie
The Inevitable Collapse of the Certificate Model by Hagai Bar-El

Шаблон:Crypto navbox

[1] "LPKI - A Lightweight Public Key Infrastructure for the Mobile Environments", Proceedings of the 11th IEEE International Conference on Communication Systems (IEEE ICCS'08), pp.162-166, Guangzhou, China, Nov. 2008.

[2] 

пренасочување Шаблон:Наведена книга

[3] пренасочување Шаблон:Наведена книга

[3] Trček, Denis (2006). „Managing information systems security and privacy“. Birkhauser. стр. 69. ISBN 9783540281030. http://books.google.com/books?id=oswvyhAftLsC&pg=PA69.

[Vacca-2004-p8-4] 4,0 ^4,1 Vacca, Jhn R. (2004). „Public key infrastructure: building trusted applications and Web services“. CRC Press. стр. 8. ISBN 9780849308222. http://books.google.com/books?id=3kS8XDALWWYC&pg=PA8.

[5] Viega, John et al. (2002). „Network Security with OpenSSL“. O'Reilly Media. стр. 61-62. ISBN 9780596002701. http://books.google.com/books?pg=PT61.

[ABCs-of-PKI-6] McKinley, Barton. „The ABCs of PKI: Decrypting the complex task of setting up a public-key infrastructure“, „Network World“, January 17, 2001.

[7] Al-Janabi, Sufyan T. Faraj et al. (2012). „Combining Mediated and Identity-Based Cryptography for Securing Email“. Ariwa, Ezendu et al.. „Digital Enterprise and Information Systems: International Conference, Deis, [...] Proceedings“. Springer. стр. 2-3. http://books.google.com/books?id=s-HVzAc_ZqEC&pg=PA2.

[8] Single Sign-On Technology for SAP Enterprises: What does SAP have to say? [1]

[Overview-9] Ed Gerck, Overview of Certification Systems: x.509, CA, PGP and SKIP, in The Black Hat Briefings '99, http://www.securitytechnet.com/resource/rsc-center/presentation/black/vegas99/certover.pdf and http://mcwg.org/mcg-mirror/cert.htm

[10] Stephen Wilson, Dec 2005, "The importance of PKI today", China Communications, Retrieved on 2010-12-13

[11] Mark Gasson, Martin Meints, Kevin Warwick (2005), D3.2: A study on PKI and biometrics, FIDIS deliverable (3)2, July 2005

[13] пренасочување Шаблон:Наведена книга

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Инфраструктура на јавниот клуч

Содржина

Преглед[уреди]

Методи на сертификација[уреди]

Издавачи на сертификати[уреди]

Привремени сертификати сам најавен[уреди]

Веб доверба[уреди]

Едноставен јавен клуч[уреди]

Историја[уреди]

Безбедносно прашање[уреди]

Примери[уреди]

Терминологија[уреди]

Наводи[уреди]

Надворешни врски[уреди]

Навигационо мени

Лични алатки

Именски простори

Варијанти

Посети

Дејства

Пребарај

Навигација

технички

алатник

Печати/извези

На други јазици