5. TLS, шифрование трафика

PKI (Public Key Infrastructure)

Инфраструктура открытых ключей (Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:

Закрытый ключ (private key) известен только его владельцу;
Удостоверяющий центр (УЦ или CA - Certificate Authority) создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается;
Никто не доверяет друг другу, но все доверяют удостоверяющему центру;
Удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

обеспечение конфиденциальности информации;
обеспечение целостности информации;
обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость/неотрекаемость — англ. non-repudiation).

Основные компоненты PKI

Центр сертификации (Certificate Authority) или удостоверяющий центр

Является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. Является главным компонентом PKI. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов и отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

По мере увеличения числа выданных сертификатов в PKI может стать трудно для одного центра сертификации эффективно отслеживать выданные сертификаты. Одним из способов решения этой проблемы является создание иерархии сертификатов, в которой ЦС делегирует центр выдачи сертификатов подчиненным центрам, которые, в свою очередь, могут делегировать полномочия своим подчиненным. Каждый ЦС делегирует центр, выдавая сертификат ЦС подчиненному. Исходный ЦС в цепочке называется корневым.

Untitled

Сертификат открытого ключа

Чаще всего просто ****сертификат — это данные пользователя/сервера и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет закрытым ключом, который соответствует этому открытому ключу.

Регистрационный центр