НОУ ИНТУИТ | Лекция | Основные компоненты и сервисы PKI

НОУ ИНТУИТ | Лекция | Основные компоненты и сервисы PKI Сертификаты
На чтение 20 мин. Просмотров 5 Опубликовано
Содержание
  1. Автоматическое обновление ключей
  2. Авторизация
  3. Антительно взятые случаи
  4. Архив сертификатов
  5. Верификация (проверка) цифровой подписи
  6. Выпуск сертификатов
  7. Выработка цифровой подписи
  8. Генерация пар ключей
  9. Другие сервисы
  10. Клиентское программное обеспечение
  11. Конечные субъекты
  12. Нотариальная аутентификация
  13. Поддержка репозитория
  14. Предотвращение отказа от участия в обмене информацией
  15. Регистрационный центр
  16. Регистрация
  17. Резервное хранение и восстановление ключей
  18. Репозиторий сертификатов
  19. Серверные компоненты pki
  20. Сервисы pki
  21. Управление жизненным циклом сертификатов и ключей
  22. Управление историями ключей
  23. Физическая топология
  24. Хранение информации в архиве
  25. Хранение сертификатов и сас в архиве

Автоматическое обновление ключей

Сертификат имеет ограниченный срок действия, который устанавливается в зависимости от возможностей современных криптографических алгоритмов и используемых длин ключей, а также с учетом практических соображений (например, объем данных, защищаемых отдельным ключом, обычно лимитируется).

Безусловно, большинству пользователей PKI кажется обременительной и раздражающей необходимость периодически вручную обновлять каждый свой сертификат. Пользователи обычно не помнят дату истечения срока действия своего сертификата, и поэтому обнаруживают это только тогда, когда бывает слишком поздно (то есть когда сертификат перестает действовать).

Следовательно, они утрачивают возможность пользоваться сервисами PKI до тех пор, пока не выполнят процедуру обновления сертификатов. Причем в этом состоянии процедура обновления несколько более сложна и требует внешнего обмена с УЦ, аналогичного процессу инициализации.

Решение проблемы заключается в том, чтобы реализовать PKI таким способом, при котором обновление ключа или сертификата управляется самой PKI полностью автоматически, без какого бы ни было вмешательства пользователя. Независимо от назначения сертификата проверяется его срок действия, и когда срок истекает, начинается операция обновления и генерируется новый сертификат, который заменяет старый.

Авторизация

Сертификаты могут использоваться для подтверждения личности пользователя и задания полномочий, которыми он наделен. В числе полномочий субъекта сертификата может быть, например, право просматривать информацию или разрешение вносить изменения в материал, размещенный на web-сервере.

Антительно взятые случаи

Правительство России приняло решение с 1 января уравнять права вакцинированных россиян и тех, кто не прививался от COVID-19, но имеет антитела к этому заболеванию. При этом соответствующие сертификаты без визита к врачу на портале госуслуг получат не только перенесшие коронавирус, но и вакцинированные иностранными препаратами и «Спутником V» за рубежом граждане. В Кремле подчеркнули, что речь идет не о признании зарубежных вакцин, а лишь о признании антител. Эксперты выражают надежду, что эта мера снимет общественное напряжение, так как показывает: государству важен иммунный статус человека, а не факт прививки.

Россияне, в крови которых обнаружены антитела к COVID-19, смогут получить QR-код — такой же, как у вакцинированных граждан. Об этом сообщила вице-премьер Татьяна Голикова на заседании фракции «Единой России» в Госдуме. Эти нормы, вероятно, дополнят правительственный законопроект о QR-кодах в общественных местах, который депутаты рассмотрят в первом чтении 16 декабря. Граждане, которые смогут предъявить положительный ПЦР-тест, сделанный после 1 января 2021 года, получат сертификат о перенесенном заболевании на год; без ПЦР, но с антителами — на полгода, сообщила госпожа Голикова.

Установить, когда переболели люди, не сдавшие ПЦР-тест и не обращавшиеся в медорганизации, объяснила она такое решение, невозможно.

«Учитывая все рекомендации и наших экспертов, и зарубежных, мы пришли к выводу, что все данные о положительных ПЦР-тестах, которые были до 1 января 2021 года, уже значения не имеют, поскольку прошел год и по рекомендациям после года после болезни уже точно нужно проходить вакцинацию соответствующими препаратами»,— добавила госпожа Голикова.

Отметим, правительственный штаб решил не устанавливать норму относительно минимально необходимого уровня антител в крови, а ориентироваться только на их наличие. Ранее ряд экспертов вступили в дискуссию, какое именно число антител достаточно для гарантированной защиты организма от инфекции. «Мы специальным образом запросили у ВОЗ (Всемирной организации здравоохранения.— “Ъ”) об использовании тех или иных показателей антител. Ни ВОЗ, ни одна из стран не мерят их количество и не устанавливают по этим антителам достаточные или недостаточные уровни защиты»,— заключила Татьяна Голикова.

На полугодовой сертификат могут рассчитывать также россияне, привитые иностранными вакцинами и «Спутником V» за рубежом.

Чтобы подтвердить наличие защиты, они должны будут сдать все тот же тест на антитела. Кремль уже прокомментировал инициативу, подчеркнув, что речь идет не о признании иностранных препаратов, а о признании наличия антител. «Это совершенно не означает, что такие же аналогичные решения будут приниматься в западных странах, работы по взаимному признанию актов вакцинации продолжаются, и мы надеемся, что со временем будет положительный результат»,— сказал пресс-секретарь президента Дмитрий Песков.

А вот граждане с медотводом сертификаты, которые бы приравнивали их к вакцинированным или переболевшим, не получат, несмотря на многочисленные обращения пациентов. Согласно законопроекту о введении QR-кодов, они будут допускаться в общественные места при наличии отрицательного ПЦР-теста, действующего 48 часов. Татьяна Голикова уточнила, что Минздрав прорабатывает перечень противопоказаний к вакцинации от коронавируса. Уже в декабре он будет представлен и разослан в регионы. Пока, как рассказывал “Ъ”, региональные власти ориентируются на решения собственных санитарных служб. Так, в ряде регионов, в частности в Крыму, Севастополе и Краснодарском крае, предъявлять ПЦР при наличии медотвода не нужно. В Пермском крае, напротив, освобождение от прививки не дает право посещать культурные мероприятия, ТЦ и заведения общепита даже при наличии проведенного в срок отрицательного ПЦР-теста.

Татьяна Голикова уточнила, что уже 54 млн граждан России оформили COVID-сертификаты через портал государственных услуг и еще 1,7 млн сертификатов оформлено в МФЦ.

Вице-премьер сообщила, что получить сертификаты переболевшие ковидом и привившиеся иностранными вакцинами смогут без обращения к врачу также через портал госуслуг.

«Думаю, что в декабре с технической готовностью портала мы это завершим»,— заверила она.

Инфекционист, главврач клиники «Лидер-медицина» Евгений Тимаков полагает, что приравнять людей с антителами к переболевшим нужно было «гораздо раньше», так как это позволило бы адекватно оценивать уровень коллективного иммунитета. Эпидемиолог, директор Института междисциплинарных медицинских исследований Европейского университета в Санкт-Петербурге Антон Барчук утверждает, что до появления штамма «омикрон» защита после перенесенной болезни была сопоставима с защитой от вакцинации. Однако сейчас, по его словам, уже очевидно, что новый вариант вируса легче, чем его предшественник «дельта», распространяется и среди переболевших.

Про сертификаты:  Сертификат ИСО 37001 (ISO 37001-2016) - получить сертификат от аккредитованного органа - Елиста

По мнению господина Барчука, решение правительства тем не менее снимет напряженность в обществе, так как многие люди переболели, но не имеют официального диагноза, а кроме того, упростит внедрение QR-кодов, которое сейчас встречает волну сопротивления.

С ним соглашается гендиректор центра молекулярно-генетических исследований ДНКОМ Андрей Исаев. Он отмечает, что некоторым пациентам приходилось вакцинироваться сразу после перенесенной болезни, увеличивая антигенную нагрузку на организм, что было «неоправданно». Кроме того, продолжает эксперт, это «подрывало саму кампанию по вакцинации». «У населения возникало впечатление, что представители власти хотят привить как можно больше людей ради самой прививки, а не ради того, чтобы сформировать иммунитет. И на этом играли многие антипрививочники. Теперь же, выдавая сертификаты по наличию антител, мы показываем, что важен иммунный статус человека, его готовность столкнуться с вирусом, а не тот факт, был он привит или переболел»,— резюмирует господин Исаев.

Архив сертификатов

На архив сертификатов возлагается функция долговременного хранения (от имени УЦ ) и защиты информации обо всех изданных сертификатах. Архив поддерживает базу данных, используемую при возникновении споров по поводу надежности электронных цифровых подписей, которыми в прошлом заверялись документы. Архив подтверждает качество информации в момент ее получения и обеспечивает целостность данных во время хранения.

Информация, предоставляемая УЦархиву, должна быть достаточной для определения статуса сертификатов и их издателя. Архив должен быть защищен соответствующими техническими средствами и процедурами.

Верификация (проверка) цифровой подписи

Посредством этого сервиса устанавливается подлинность сообщения и соответствующей ему цифровой подписи.

Выпуск сертификатов

Сертификаты выпускаются УЦ для пользователей (физических и юридических лиц), для подчиненных ему удостоверяющих центров, а также для удостоверяющих центров сторонних PKI в случае кросс-сертификации.

Концепция единой глобальной PKI, объединяющей всех пользователей в мире, вряд ли воплотится в жизнь в ближайшее время. Скорее всего, сохранится сегодняшняя модель, когда существуют многие независимо реализованные и функционирующие PKI, которые обслуживают разные среды и сообщества пользователей.

Однако с течением времени неизбежно возникает необходимость в объединении, по крайней мере, некоторых инфраструктур из этого множества независимо реализованных PKI. Изменение деловых связей или другие причины вызывают потребность в защищенных коммуникациях между сообществами пользователей разных PKI, даже если раньше защищенная связь между ними не была нужна.

Концепция кросс-сертификации возникла в связи с необходимостью формировать отношения доверия между ранее не связанными реализациями PKI. В отсутствии глобальной PKI кросс-сертификация служит общепринятым механизмом, позволяющим пользователям одного PKI-сообщества полагаться на сертификаты другого PKI-сообщества.

В деловой среде в результате слияния, приобретения новых компаний, сотрудничества с новыми партнерами появляется потребность в установлении связей между различными PKI. Без механизма однородного и контролируемого связывания разных инфраструктур в среде могут возникнуть проблемы с разрушительными последствиями, такие как, например, аннулирование всех сертификатов приобретаемой компании или выпуск новых сертификатов для приобретающей компании. Кросс-сертификация отвечает важным требованиям бизнеса к безопасности взаимного связывания разнородных PKI.

Выработка цифровой подписи

Этот сервис заключается в генерации хэш-кода сообщения и подписи его цифровым образом.

Генерация пар ключей

При помощи этого сервиса генерируется пара ключей (открытый ключ/секретный ключ), секретный ключ хранится в файле, защищенном паролем или иными средствами (например, на смарт-карте или при помощи другого аппаратного или программного средства, гарантирующего конфиденциальность секретного ключа).

В PKI должны поддерживаться две пары ключей для каждого пользователя. В любой момент времени пользователь должен иметь одну пару ключей для шифрования и расшифрования сообщения, а другую пару – для выработки или проверки цифровой подписи.

Другие сервисы

В ряде случаев необходимы и другие сервисы, например, сервисы генерации пар ключей и записи их на смарт-карты, если ключи хранятся на смарт-картах.

Клиентское программное обеспечение

Как известно, технология “клиент-сервер” предполагает обслуживание клиента только по его запросу, тот же самый принцип справедлив и для PKI. Клиентское программное обеспечение (ПО) пользователя должно запрашивать сервисы сертификации и обрабатывать информацию об аннулированных сертификатах, понимать истории ключей и отслеживать своевременное обновление или восстановление ключей, анализировать необходимость проставления меток времени.

Клиентскому ПО необходимо распознавать идентификаторы политики применения сертификатов, вовремя определять статус сертификата и правильно выполнять обработку пути сертификации (
“Валидация пути сертификации”
).

Клиентское ПО – существенный компонент полнофункциональной PKI. Важно отметить, что клиентское ПО не является ни программным обеспечением приложения, ни PKI-совместимым кодом, который размещается внутри приложения, подобного браузеру или приложению электронной почты.

Такая архитектура фундаментально нарушала бы концепцию PKI как инфраструктуры, согласованно обеспечивающей безопасность всем использующим ее приложениям и платформам. Наоборот, клиентское ПО – это код, который существует вне любых приложений и реализует необходимую клиентскую сторону PKI.

Приложения связываются с клиентским ПО через стандартные точки входа, им не приходится самостоятельно взаимодействовать с разными серверами PKI. Таким образом, приложения используют инфраструктуру, а не являются частью инфраструктуры [44].

Компонент клиентской стороны PKI может быть:

Существует много возможностей реализации и вызова клиентского ПО, но главным требованием является независимость этого компонента от приложений, использующих PKI.

Каждый компонент, чтобы быть частью PKI, должен удовлетворять критерию безопасности. Этот критерий характеризует необходимый для целей бизнеса уровень защищенности в пределах допустимого уровня риска [10]. Механизмы безопасности, обеспечивающие заданный уровень защищенности, обычно подразделяют на механизмы защиты аппаратных средств, компьютерной платформы, сети и приложений.

PKI-совместимые приложения не позволяют обеспечить полную безопасность корпоративной сети и должны быть дополнены другими средствами защиты, например, межсетевыми экранами, сервисами аутентифицируемых имен (службами имен) и строгим контролем администратора сети.

Конечные субъекты

Конечные субъекты, или пользователи, PKI делятся на две категории: владельцы сертификатов и доверяющие стороны. Они используют некоторые сервисы и функции PKI, чтобы получить сертификаты или проверить сертификаты других субъектов.

Владельцем сертификата может быть физическое или юридическое лицо, приложение, сервер и т.д. Доверяющие стороны запрашивают и полагаются на информацию о статусе сертификатов и открытых ключах подписи своих партнеров по деловому общению.

Нотариальная аутентификация

Нотариальная аутентификация включает аутентификацию отправителя сообщения, подтверждение целостности и юридической силы электронных документов.

Про сертификаты:  Подтверждение соответствия продукции заказать в компании Астелс Волгоград

К сервисам, базирующимся на PKI, также относятся защищенное датирование, поддержка защищенного архива данных и некоторые другие сервисы, все они более подробно описываются в
“Сервисы, базирующиеся на PKI”
.

Поддержка репозитория

Выпущенный сертификат или САС включается в репозиторий (в соответствии со спецификациями стандарта X.500 или иными требованиями), чтобы третьи стороны могли иметь к нему доступ. Обычно репозиторий контролируется УЦ, в некоторых случаях – третьей стороной.

Предотвращение отказа от участия в обмене информацией

Сервис предотвращения отказа от участия в обмене информацией генерирует электронные доказательства времени подписания или передачи данных и аутентификации источника данных, которые могут использоваться для того, чтобы стороны, отправляющие и принимающие электронные сообщения или документы, не могли отрицать свое участие в информационном обмене в целом или на отдельных его этапах [2].

Считается, что если зафиксированы время участия в информационном обмене и источник информации, то сторона, отправляющая информацию, не сможет отрицать того, что сообщение отправлено ею (доказательство происхождения данных), а сторона, принимающая информацию, не сможет отрицать того, что получила сообщение (доказательство доставки данных).

Для краткости этот сервис часто называют сервисом “неотказуемости”.
Термин ” неотказуемость ” интуитивно понятен многим, привычен и широко распространен в среде специалистов, поэтому в дальнейшем изложении сервис предотвращения отказа от участия в обмене информацией будем называть сервисом неотказуемости.

Самое главное требование для предотвращения отказа от цифровой подписи состоит в том, что ключ подписи должен генерироваться и безопасно храниться под контролем его владельца. Когда пользователи забывают свои пароли или теряют свои ключи подписи, на резервирование или восстановление предыдущей пары ключей подписи не накладывается никаких технических ограничений (в отличие от аналогичной ситуации с парами ключей шифрования сообщений). В таких случаях допускается генерация и дальнейшее использование новых пар ключей подписи.

Регистрационный центр

Регистрационный центр (РЦ) является необязательным компонентом PKI. Обычно РЦ получает от удостоверяющего центра полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ и проверять информацию, которая заносится в сертификат.

Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ (паспорт, водительские права, чековую книжку и т.п.) или третьей стороной (например, кредитным агентством – о кредитном лимите пластиковой карты).

Иногда в сертификат включается информация из отдела кадров или данные, характеризующие полномочия субъекта в компании (например, право подписи документов определенной категории). РЦ
агрегирует эту информацию и предоставляет ее УЦ.

УЦ может работать с несколькими регистрационными центрами, в этом случае он поддерживает список аккредитованных регистрационных центров, то есть тех, которые признаны надежными. УЦ выдает сертификат РЦ и отличает его по имени и открытому ключу. РЦ выступает как объект, подчиненный УЦ, и должен адекватно защищать свой секретный ключ.

РЦ объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др.

Регистрация

Регистрационные сервисы обеспечивают регистрацию и контроль информации о субъектах, а также аутентификацию субъектов, необходимую для выпуска или аннулирования сертификатов (от имени УЦ ). Фактический выпуск сертификатов осуществляется УЦ.

Резервное хранение и восстановление ключей

УЦ должен иметь возможность восстановить зашифрованную информацию в случае потери пользователями их ключей шифрования. Это означает, что УЦ необходима система создания резервных копий и восстановления этих ключей.

Этот процесс известен как коммерческое создание резервных копий и восстановление ключей, и он отличается от принудительного депонирования ключей третьей стороной (обычно правоохранительными органами), которая получает доступ к ключам для расшифровки необходимой информации.

Коммерческие сервисы восстановления ключей обеспечивают заблаговременное засекречивание копии ключа на случай утери ключа пользователем, его ухода с работы, утраты пароля, необходимого для доступа к ключу, а также восстановление ключа в ответ на запрос пользователя или его работодателя.

При функционировании PKI иногда возникают ситуации, когда пользователи больше не могут использовать свои секретные ключи:

Для многих сред, особенно корпоративных, утрата данных, защищенных недоступным в данный момент ключом, совершенно неприемлема. В бизнесе часто критически важные документы шифруются симметричным ключом, который, в свою очередь, зашифрован открытым ключом пользователя.

Если соответствующий секретный ключ утерян, то эти документы невозможно восстановить, что может крайне отрицательно отразиться на бизнесе. Наиболее рациональным решением проблемы является резервное хранение и восстановление секретных ключей шифрования.

Сервисы обеспечивают создание резервных копий и восстановление информации в случае уничтожения или устаревания среды хранения.

Репозиторий сертификатов

Репозиторий – специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов (термин ” реестр сертификатов ключей подписей” введен в практику Законом РФ “Об электронной цифровой подписи”)

[10]. Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:

Репозиторий обычно размещается на сервере каталогов, организованных в соответствии с международным стандартом X.500 и его подмножеством. Большинство серверов каталогов и прикладное программное обеспечение пользователей поддерживают упрощенный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol)

[154]. Такой унифицированный подход позволяет обеспечивать функциональную совместимость приложений PKI и дает возможность доверяющим сторонам получать информацию о статусе сертификатов для верификации цифровых подписей.

Серверные компоненты pki

Основными серверными компонентами PKI являются сервер сертификатов, сервер каталогов и сервер восстановления ключей, опциональными компонентами – сервер регистрации, OCSP-сервер, обслуживающий запросы пользователей по онлайновому протоколу статуса сертификата Online Certificate Status Protocol (более подробно об этом
“Механизмы распространения информации PKI”
), и сервер проставления меток времени.

На сервер сертификатов возлагаются функции выпуска и управления сертификатами, защищенного хранения секретного ключаудостоверяющего центра, поддержки жизненного цикла сертификатов и ключей, восстановления данных, ведения контрольного журнала и регистрации всех операций удостоверяющего центра.

Сервер каталогов содержит информацию о сертификатах и атрибутах субъектов сертификатов открытых ключей. Через протокол LDAP приложения стандартным образом обращаются к записям каталогов, например, к адресам электронной почты, номерам телефонов, полномочиям и сертификатам пользователей.

Про сертификаты:  Руководитель отдела сертификации

Сервер каталогов должен обеспечивать:

Сервер восстановления ключей поддерживает создание резервных копий и восстановление ключей шифрования конечных субъектов. Среди всех компонентов PKI сервер восстановления ключей должен быть наиболее защищен и обеспечивать сильную аутентификацию администратора и пользователей, поддержку конфиденциальности и целостности сообщений, безопасное хранение всех компонентов ключей.

PKI управляет ключами и сертификатами, используемыми для реализации криптографических операций в web-браузерах, web-серверах, приложениях электронной почты, электронного обмена сообщениями и данными, в приложениях, поддерживающих защищенные сетевые транзакции и сеансы связи через World Wide Web или в виртуальных частных сетях на базе протоколов S/MIME, SSL и IPsec, а также для заверения цифровой подписью электронных документов или программного кода [82].

Приложения электронной почты и обмена сообщениями используют пары ключей для шифрования сообщений и файлов и заверения их цифровыми подписями. Системы электронного обмена данными поддерживают транзакции, требующие аутентификации сторон, обеспечения конфиденциальности и целостности данных.

Браузеры и web-серверы используют шифрование для аутентификации, обеспечения конфиденциальности, а также в приложениях электронной коммерции и онлайнового предоставления банковских услуг. Шифрование и аутентификация применяются также для создания виртуальных частных сетей (Virtual Private Networks – VPN) на основе сетей общего пользования, для защиты коммуникаций между сайтами или удаленного доступа (клиент-сервер).

Сервисы pki

Ядроинфраструктуры открытых ключей образуют сервисы управления сертификатами и криптографические сервисы, в крупномасштабных PKI важная роль отводится вспомогательным сервисам.

Управление жизненным циклом сертификатов и ключей

Если секретный ключ пользователя потерян, похищен или скомпрометирован, либо существует вероятность наступления таких событий, действие сертификата должно быть прекращено. После получения подтверждения запроса пользователя об аннулировании сертификата УЦ уведомляет об аннулировании все заинтересованные стороны, используя список аннулированных сертификатов (САС).

УЦ заверяет цифровой подписью сертификат, связывающий открытый ключ с идентичностью пользователя. Однако события реального мира часто разрушают эту связь: идентификационные данные субъекта могут измениться, например, при заключении брака (девичья фамилия заменяется фамилией супруга) или при хищении его секретного ключа злоумышленником.

Пример 3.1. В качестве примера можно привести следующую аналогию аннулирования сертификатов. Водительские права – это один из видов сертификатов, который связывает идентичность (имя и фотографию) с номером водительских прав (то есть разрешением на вождение) и выдается доверенным центром (автоинспекцией).

Когда инспектор останавливает машину, то он не просто проверяет, на какой срок выданы права, но также может связаться с доверенным центром, чтобы выяснить, не были ли права аннулированы. Проверка на предмет аннулирования необходима, потому что иногда связь “идентичность-разрешение” в непросроченных правах не является надежной [10].

Механизм аннулирования сертификатов необходим во всех случаях, за исключением тех, когда используются сертификаты, имеющие короткий срок действия и эффективные только для однократного использования. Одноразовые сертификаты непрактичны во многих PKI-средах, поскольку создают огромную нагрузку на УЦ.

Аналогично аннулированию осуществляется приостановление действия сертификата. Оно заключается в однократной отмене сертификата на некоторое время в течение периода его действия. После этого действие сертификата возобновляется автоматически или же сертификат аннулируется.

Управление историями ключей

Концепция обновления ключей, ручного или автоматического, подразумевает, что в данный момент времени пользователь имеет много “старых” сертификатов и, по крайней мере, один “текущий” сертификат. Этот набор сертификатов и соответствующих секретных ключей обычно называют историей ключей пользователя, хотя более точно его называть историей ключей и сертификатов.

Сохранение этой полной истории ключей очень важно, потому что данные, зашифрованные самим пользователем или кем-нибудь для него в прошлом (например, 5 лет назад), не могут быть расшифрованы при помощи текущего секретного ключа пользователя. Заметим, что повторное шифрование всех данных пользователя при обновлении ключа обычно не практикуется.

Поэтому пользователю необходима поддержка его истории ключей, чтобы найти корректный ключ шифрования для извлечения необходимых данных,
зашифрованных в прошлом. То же самое справедливо и для сертификатов ключей подписи и старых документов, заверенных цифровой подписью данного пользователя.

Подобно обновлению ключей, управление историями ключей должно выполняться автоматически и полностью управляться PKI. Пользователи обычно не любят работать с системами, где надо самостоятельно выбирать подходящий ключ или, хуже того, искать его перебором всех секретных ключей по очереди до тех пор, пока расшифрованные данные не станут походить на искомое.

В ближайшем будущем пользователи будут иметь огромное количество пар ключей, которые должны будут поддерживаться как криптографические ключи, даже если никогда не будут использоваться. Ключи шифрования со временем требуют обновления, при этом должна поддерживаться история всех ключей, использованных ранее (например, для расшифрования информации многолетней давности или проверки цифровой подписи на старом договоре).

Процесс корректировки пар ключей должен быть “прозрачен” для пользователя. Это означает, что пользователи не должны заботиться об обновлении ключей или получать отказ в обслуживании из-за недействительности своих ключей. Для удовлетворения этого требования пары ключей пользователя должны автоматически обновляться до истечения срока их действия.

Физическая топология

Система PKI, помимо выполнения целого ряда функций – выпуска сертификатов, генерации ключей, управления безопасностью, аутентификации, восстановления данных, – должна обеспечивать интеграцию с внешними системами. PKI необходимо взаимодействовать с множеством самых разных систем и приложений – это и программное обеспечение групповой работы, и электронная почта, и системы управления доступом, и каталоги пользователей, и виртуальные частные сети, и разнообразные операционные системы, и службы безопасности, и web-приложения, и широкий спектр корпоративных систем [10]. Рис. 3.2 иллюстрирует взаимодействие пользователей с серверами PKI.

Функциональные компоненты PKI ( УЦ, РЦ и др.) могут быть реализованы программно и аппаратно различными способами, например, располагаться на одном или нескольких серверах.

Системы, выполняющие функции удостоверяющего и регистрационного центров, часто называют серверами сертификатов и регистрации соответственно.

Хранение информации в архиве

Сервисы хранения информации в архиве предназначены для долговременного хранения и управления электронными документами и другой информацией.

Хранение сертификатов и сас в архиве

Выпускаемые сертификаты и списки аннулированных сертификатов хранятся в архиве длительное время, которое определяется правилами хранения документов, заверенных электронно-цифровой подписью (ЭЦП).

Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат