Pki инфраструктура: Инфраструктура открытых ключей — Википедия

Инфраструктура открытых ключей — Википедия

Начало асимметричным шифрам было положено в работе «Новые направления в современной криптографии» Уитфилда Диффи и Мартина Хеллмана, опубликованной в 1976 году. Находясь под влиянием работы Ральфа Меркле (англ. Ralph Merkle) о распространении открытого ключа, они предложили метод получения секретных ключей, используя открытый канал. Этот метод экспоненциального обмена ключей, который стал известен как обмен ключами Диффи — Хеллмана, был первым опубликованным практичным методом для установления разделения секретного ключа между заверенными пользователями канала. В 2002 году Хеллман предложил называть данный алгоритм «Диффи — Хеллмана — Меркле», признавая вклад Меркле в изобретение криптографии с открытым ключом. Эта же схема была разработана Малькольмом Вильямсоном в 1970-х, но держалась в секрете до 1997 г. Метод Меркле по распространению открытого ключа был изобретён в 1974 и опубликован в 1978 году, его также называют загадкой Меркле.

В 1977 году учёными Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом из Массачусетского технологического института был разработан алгоритм шифрования, основанный на проблеме о разложении на множители. Система была названа по первым буквам их фамилий (RSA — Rivest, Shamir, Adleman). Эта же система была изобретена в 1973 году Клиффордом Коксом (англ. Clifford Cocks), работавшим в центре правительственной связи (GCHQ), но эта работа хранилась лишь во внутренних документах центра, поэтому о её существовании было неизвестно до 1977 года. RSA стал первым алгоритмом, пригодным и для шифрования, и для электронной подписи.

Упрощенно, PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой используя сертификаты, выданные этим удостоверяющим центром. Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации, конечных пользователей и опциональных компонентов: центра регистрации и сетевого справочника.

Основные функции удостоверяющего центра:

• проверка личности будущих пользователей сертификатов;
• выдача пользователям сертификатов;
• аннулирование сертификатов;
• ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.

Дополнительные функции удостоверяющего центра:

• УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат.
• По запросу, при разрешении конфликтов, УЦ может производить проверку подлинности электронной подписи владельца сертификата, выданного этим УЦ.

Сертификат — это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись центра выдачи сертификатов (УЦ), информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.

Причины досрочного аннулирования сертификатов:

• компрометация закрытого ключа;
• изменение информации о владельце сертификата, содержащейся в этом сертификате;
• добровольное заявление владельца сертификата;
• изменения полномочий текущего владельца сертификата.

Ключевая пара — это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).

Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации пользователя УЦ выдаёт ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим.

Открытый ключ известен всем, в то время закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в тайне и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ всё-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то, что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.

Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифрования данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.

Одним из ключевых понятий ИОК является электронная подпись. В рамках этой статьи понятия подпись, электронная подпись (ЭП), цифровая подпись и электронная цифровая подпись (ЭЦП) взаимозаменяемы. В Федеральном Законе РФ № 1 «Об электронно-цифровой подписи» от 2001 года, существовало только понятие электронно-цифровой подписи. Федеральный Закон РФ № 63 «Об электронной подписи» от 2011 года расширил понятие подписи. В соответствии со статьей 5 «Виды электронных подписей», различают простую электронную подпись и усиленную электронную подпись. В текущей статье и практически во всех литературных источниках об Инфраструктуре Открытых Ключей, как англоязычных, так и русскоязычных, под понятием подписи понимается усиленная электронная подпись.

Электронная подпись — это результат использования алгоритма электронной подписи на хеш данных (документа/сообщения/файла).

Подлинность электронной подписи проверяется следующим образом:

1. Получатель получает данные (зашифрованные или в открытом виде) и электронную подпись.
2. [Опциональный шаг, так как документ/сообщение/файл мог быть отправлен в открытом виде]. Данные расшифровываются с помощью либо заранее оговоренного симметричного ключа, либо с помощью закрытого ключа получателя (во втором случае данные были зашифрованы с помощью открытого ключа получателя, извлеченного из его сертификата).
3. Получатель вычисляет хеш расшифрованного документа/сообщения/файла (алгоритм хеша указан в сертификате).
4. Получатель применяет к электронной подписи алгоритм снятия подписи (алгоритм подписи указан в сертификате), в результате чего получает хеш исходного документа/сообщения/файла.
5. Получатель сравнивает хеши. Если они одинаковы — электронная подпись считается действительной, при условии, что сертификат действителен и был применен в соответствии с его политиками.

В число приложений, поддерживающих PKI, входят: защищённая электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭП).

Краткое описание процесса работы с личными сертификатамиПравить

Для того чтобы получить сертификат, нужно обратиться в Удостоверяющий Центр. Перед запросом на получение сертификата нужно удостовериться, что данный УЦ аккредитован в той сфере, где владелец сертификата будет его использовать. Для получения сертификата необходимо сгенерировать пару открытый-закрытый ключи; это производит либо пользователь, либо УЦ, в зависимости от политики Удостоверяющего Центра или договоренностей между клиентом и УЦ.

Для использования сертификатов (подписи или проверки подписи), пользователь должен установить на используемую Операционную систему криптографические средства, поддерживающие работу с данными сертификатами и алгоритмами электронной подписи.

После получения сертификата его нужно установить в свою систему. При использовании ОС семейства Windows, после установки сертификата ег

Что такое PKI? Немного информации по инфраструктуре открытых ключей (PKI)

Вы когда-нибудь задумывались, что такое Инфраструктура Открытых Ключей (PKI) и как она работает? Это только одна из наиболее важных систем, используемых сегодня для обеспечения аутентификации, целостности данных и конфиденциальности . ..

Мир криптографии полон идей, и одна из этих идей — инфраструктура открытых ключей (PKI). Но что такое PKI и что это влечет за собой для организаций и конфиденциальности данных? Короче говоря, это система процессов, политик, аутентификации и технологий, которые управляют шифрованием и, в конечном счете, защищают наши текстовые сообщения, электронные письма, пароли, информацию о кредитных картах и любую информацию, вплоть до фотографий.

PKI — это инфраструктура, которая стала неотъемлемой частью нашей повседневной жизни — и подавляющее большинство из нас даже не знают, что это такое! Что ж, это то, что огорчает всех нас здесь, в нашем Блоге, и именно поэтому мы пытаемся разложить сложные, занудные вещи в понятную форму.

Итак, что такое PKI? В этом посте я познакомлю вас с искусством и наукой, которая является инфраструктурой открытых ключей (PKI), и всем, что с этим связано.

Давайте разберемся с этим.

Проблема «ключа» в традиционном шифровании

Но, прежде чем мы перейдем к ответу на вопрос «что такое PKI?» и поговорим о том, как это работает, давайте сначала рассмотрим простой сценарий. Допустим, есть человек по имени Сергей, который хочет отправить конфиденциальную информацию Михаилу, его коллеге по работе. Он не может отправить эту информацию в виде открытого текста, так как недоброжелатели могут легко перехватить и прочитать или взломать ее. По идее Сергею нужно для этого будет зашифровать передаваемую информацию.

Но тут возникает проблема. Если Сергей шифрует сообщение, используя ключ (некоторую логику), то как Михаил расшифрует его? Он должен иметь с собой ключ, верно? Чтобы дать ключ Михаилу, нет другого варианта, кроме как встретиться с ним лицом к лицу, что совершенно нецелесообразно в наше время или отправить его через курьера и рискнуть, так как его могут перехватить.

Такой метод шифрования проблематичен не только в физическом мире, но и в виртуальном мире. Каждый раз, когда два компьютера хотят общаться безопасно, им приходится согласовывать один ключ шифрования при каждом взаимодействии. Это математический процесс и требует времени. И если есть сервер (например, банк), который обменивается данными с несколькими пользователями, то серверу придется выполнять вычислительный процесс для каждой клиентской транзакции, и это еще больше замедлит его. Все эти вещи включают в себя множество сложных процессов и соглашений, которые должны обрабатываться на микро скоростях.

И вот, где приходит на помощь PKI.

Как инфраструктура PKI меняет все

В дополнение к обычному шифрованию (также известному как симметричное шифрование), в котором один и тот же ключ используется для шифрования и дешифрования, PKI также включает использование пары ключей — открытого ключа и закрытого (приватного) ключа — в процессе, который известен под интуитивно известным названием «шифрование с открытым ключом». Один из этих ключей шифрует информацию, а другой расшифровывает ее. Оба эти ключа различны, но они математически связаны друг с другом. Это означает, что информация, зашифрованная одним ключом, может быть расшифрована только с помощью ключа, связанного с ним. Открытый ключ, как следует из названия, доступен публично. Закрытый ключ, с другой стороны, остается приватным.

Таким образом, если Сергей и Михаил используют инфраструктуру открытого ключа вместо симметричного метода шифрования, Сергей может зашифровать секретное сообщение, используя открытый ключ Михаила, который у него есть. Михаил со своим закрытым ключом является единственным человеком, который может расшифровать сообщение. Таким образом, они могут безопасно общаться, не позволяя недоброжелателям (мошенникам) читать/вмешиваться в эту информацию. Не только это, но Михаил может быть уверен в том, что сообщение пришло именно от Сергея, а не от кого-то другого.

Довольно круто, не правда ли?

Популярные области, в которых применяется PKI

Отвечая на вопрос «что такое PKI?» вам нужно поговорить не только о том, что оно составляет, но и о том, как и где оно используется. Существует несколько способов, которыми предприятия и организации по всему миру используют инфраструктуру открытых ключей:

Безопасность сайта (HTTPS/SSL)

Наиболее популярное использование PKI заключается в обеспечении безопасной, зашифрованной связи между веб-браузерами (клиентами) и веб-серверами (веб-сайтами). Это делается с помощью протокола HTTPS, который реализуется путем установки SSL-сертификата на веб-сервере.

Сертификат SSL работает, как удостоверение личности веб-сайта, через которое браузеры могут проверить, что они общаются с нужным веб-сайтом. Приобретая сертификат SSL, вы получаете открытый и закрытый ключи. Закрытый (приватный) ключ хранится на веб-сервере, и сервер использует его для подтверждения своей легитимности.

Благодаря использованию PKI, SSL-сертификат:

• защищает целостность сообщения,
• защищает информацию от атак «man-in-the-middle» и
• аутентифицирует связь обоих сторон (браузер и сервер).

Такой трехсторонний подход к безопасности жизненно важен, когда вы отправляете важную информацию, такую как пароли, данные кредитной карты, личные сообщения и т. д. Поэтому было бы не преувеличением назвать PKI «основой веб-безопасности».

Протокол защищенной оболочки (SSH)

Secure Shell (SSH) — это криптографический сетевой протокол, который обеспечивает безопасные сетевые сервисы между хостами и пользователями по незащищенной сети. Он используется для облегчения безопасного удаленного входа с одного компьютера на другой. В основе SSH также лежит инфраструктура открытых ключей (PKI).

Безопасность электронной почты (протокол S/MIME)

Другое важное использование PKI делается для шифрования и цифровой подписи email сообщений. Это делается с помощью интернет протокола, известного как S/MIME, или так называемого безопасного/многоцелевого расширения электронной почты. Эти сертификаты известны, как сертификаты S/MIME.

Как и протокол SSL/TLS, здесь и PKI реализован с использованием сертификата, но способ, которым они это делают, отличается. Вместо шифрования безопасного канала связи, это сквозное шифрование шифрует само сообщение.

Это означает, что сертификаты S/MIME не только шифруют электронные письма, но и снабжают их цифровой подписью для аутентификации личности отправителя и целостности самого сообщения.

Безопасный обмен сообщениями

Будь то WhatsApp, iMessage, Facebook Messenger или другие подобные службы обмена сообщениями, мы все используем службы связи или приложения. Многие из этих сервисов зашифрованы с использованием PKI и защищают от попыток перехвата данных или взлома. В частности, сквозное шифрование — это то, с чем многие правительства хотели бы покончить, хотя такие компании, как Apple, Microsoft и Facebook твердо придерживаются своих планов по его внедрению.

Подписание документов

Как и физические подписи для аутентификации физических документов, необходимо подписывать документы в цифровом виде. С одной стороны, это помогает получателю убедиться, что сообщение приходит от проверенного объекта; это также позволяет им гарантировать, что это не было подделано. Это также делается PKI с использованием сертификатов подписи документов.

Код / Подписание приложения

Миллионы пользователей загружают миллионы приложений на компьютеры и мобильные устройства каждый день. Компании-разработчики или частные лица создают эти программы. Но какова гарантия того, что устанавливаемое вами программное обеспечение принадлежит компании или индивидуальному разработчику, от которого вы думаете, что оно? Не может ли кто-нибудь просто изменить имя файла и замаскировать вредоносное программное обеспечение, как доверенное программное обеспечение? Да. И это очень реальная проблема для всех. Ну, вот где приходят сертификаты подписи кода.

Сертификат подписи кода удостоверяет личность разработчика или издателя и целостность исполняемого файла. Это позволяет браузерам проверять, что само программное обеспечение не было изменено каким-либо образом с использованием шифрования с открытым ключом. Это делается путем применения цифровой подписи и одностороннего хеширования.

PKI 101: Сертификаты, Ключи и Центры сертификации

Многие люди спрашивают нас: «Что такое PKI?» Что ж, ответ довольно прост: это система, которая используется для целей шифрования и аутентификации, и это не столько конкретный продукт/программное обеспечение. Следовательно, для реализации шифрования требуется некоторая материальная база. Это проявляется в виде различных технологий (аппаратного и программного обеспечения), объектов (таких как Центры Сертификации, о которых мы поговорим позже), процессов, политик и процедур. Эта система облегчает и управляет шифрованием и всем, что делает это возможным — начиная от основ открытых ключей и цифровых сертификатов и заканчивая управлением ими и пониманием Центров Сертификации, которые их выпускают и аннулируют.

Следовательно, можно сказать, что инфраструктура открытых ключей состоит из трех основных элементов: Пар ключей, Цифровых сертификатов X.509 и Органов выдачи сертификатов.

Теперь, когда мы понимаем пару ключей, давайте разберемся с двумя другими важными компонентами PKI — Цифровыми сертификатами и Центрами сертификации (CA).

Цифровые сертификаты

Цифровой сертификат — это набор файлов, с помощью которых мы можем реализовать различные приложения безопасности инфраструктуры открытого ключа (PKI). Проще говоря, это документ, удостоверяющий личность его владельца. Он состоит из информации о ключе, информации о личности его владельца и цифровой подписи Центра сертификации. Существует несколько различных типов цифровых сертификатов, которые (вы можете заметить, соответствуют популярному использованию PKI, которое мы рассмотрели выше). Вот некоторые из типов цифровых сертификатов X.509, которые вы можете найти в инфраструктуре PKI:

Центры сертификации

Давайте разберемся с простым сценарием. Если Сергей хочет отправить Михаилу зашифрованное сообщение, он может получить его цифровой сертификат, зашифровать информацию с помощью открытого ключа и отправить ему защищенное сообщение. Но тут возникает потенциальная проблема: как Сергей может быть уверен, что именно Михаил владеет сертификатом и открытым ключом, который он использовал? Что если он на самом деле отправит сообщение мошеннику, который просто утверждает, что он Михаил?

Здесь на помощь приходят Доверенные Центры Сертификации (CA)

Центры сертификации — это доверенные сторонние организации, которые выпускают цифровые сертификаты и управляют ими. Они являются наиболее важным элементом в PKI, поскольку миллионы пользователей — сознательно или неосознанно — будут полагаться на них.

Перед выдачей цифрового сертификата ЦС должен провести процесс проверки, чтобы удостовериться, что он выдает сертификат законному субъекту. Даже небольшая ошибка в процессе проверки может привести к ошибочной выдаче и вызвать катастрофу не только с точки зрения ущерба, но и с точки зрения общего доверия к системе, которой является PKI. Таким образом, чтобы быть доверенным центром сертификации, вы должны соответствовать очень строгим критериям, сформированным независимой группой браузеров, операционных систем и мобильных устройств, известной, как CA/Browser Forum (или CA/B Forum для краткости). Кроме того, вам нужна инфраструктура на несколько миллионов долларов, которая включает в себя значительные операционные элементы, аппаратные средства, программное обеспечение, структуры политик, практические заявления, аудит, инфраструктуру безопасности и персонал.

Преимущества инфраструктуры открытых ключей (PKI)

Учитывая все это, существует множество преимуществ использования шифрования с открытым ключом, как части вашей инфраструктуры открытого ключа. Кто они такие? О, мы очень рады, что вы спросили . ..

Аутентификация

В эпоху, когда мошенники пробуют все хитрости, чтобы обмануть пользователей, аутентификация/проверка подлинности становятся необходимостью. Когда вы передаете информацию через веб-сайт, электронную почту или текстовые сообщения, обязательно убедитесь, что вы общаетесь с предполагаемой организацией/личностью. Благодаря процессу проверки, проводимому Центром сертификации и использованию закрытого и открытого ключа, PKI обеспечивает беспрецедентную бесперебойную аутентификацию.

Конфиденциальность

Одним из важных элементов безопасности, когда дело доходит до онлайн-общения, является конфиденциальность. В конце концов, никто не хочет раскрывать свои пароли, информацию о кредитной карте или личную информацию. Зашифровывая данные между отправителем и получателем, PKI обеспечивает безопасность исходных данных, чтобы только предполагаемый получатель мог видеть данные в их первоначальном формате.

Целостность данных

Когда вы отправляете конфиденциальную информацию онлайн, обеим сторонам необходимо, чтобы получатель получал данные в неизмененном виде. С помощью метода, называемого «хэширование», PKI позволяет получателю проверить, остались ли сообщение/документ/данные в той же форме или нет.

Неотрекаемость

PKI предоставляет механизм цифровой подписи онлайн-транзакций (файлов, электронных писем, документов и т. д.), Способ физического подписания документов и прочего. Таким образом, это служит доказательством того, что лицо, подписавшее его, является источником данных. И, следовательно, это также делает невозможным для отправителя отрицать, что он/она был тем, кто подписал и отправил его. Это называется «неотрекаемость».

Недостатки инфраструктуры открытых ключей

Хотя существует много преимуществ инфраструктуры открытых ключей и предоставляемого шифрования, мы признаем, что она не идеальна. Также есть некоторые специфические недостатки, на которые стоит обратить внимание:

Скорость

PKI — это чрезвычайно безопасный процесс, который обеспечивает то, что должен. Большая часть кредита идет на пару ключей и сверхсложные математические алгоритмы. Однако эта сложность приводит к дополнительным вычислительным затратам при шифровании данных в больших объемах. В результате это замедляет процесс передачи данных до минимальной степени, порядка 5 миллисекунд (мс), чтобы быть точным. С точки зрения использования процессора, разница между зашифрованными и незашифрованными соединениями составляет 2%. Хотя это различие довольно мало, вы можете рассмотреть возможность перехода на HTTP/2 для ускорения процесса передачи данных.

Компромисс закрытого ключа

Математика, стоящая за PKI, должна быть настолько сильной, что даже суперкомпьютеры (не говоря уже о хакерах) не смогут взломать ее в течение практического времени. Однако вся безопасность PKI не зависит от непобедимой математики; это также зависит от безопасности закрытого ключа, так как он может расшифровать данные, зашифрованные открытым ключом.

Поэтому, если закрытый ключ скомпрометирован, злоумышленнику не нужно взламывать сверхсложные математические алгоритмы. Они могут расшифровывать данные (как прошлого, так и будущего) с помощью закрытого ключа, а также могут имитировать сервер, чтобы обмануть клиентов. Это может привести к взлому корпоративной секретной информации, паролей, финансовой информации и т.д. Другими словами, это может привести к беспрецедентным бедствиям. Это серьезная причина для беспокойства при использовании PKI.

Опора на Центры сертификации

PKI это не технология, это система. И, как и любая другая система, она имеет компоненты. Одним из ключевых компонентов PKI являются Центры сертификации, которые выдают сертификаты. Как мы видели ранее, ЦС должны проводить процесс проверки и подписывать цифровые сертификаты, чтобы удостовериться, что сертификаты выдаются только законным людям/организациям. Но если по какой-то причине ЦС будет скомпрометирован, то это может стать причиной нарушения безопасности для миллионов людей и организаций во всем мире.

Как PKI работает в SSL/TLS

В мире более 4,5 миллиардов интернет-пользователей, и все они используют PKI через SSL/TLS, даже если они не знают об этом. Поскольку вы читаете это предложение прямо сейчас, ваш браузер и наш сервер передают данные посредством процесса шифрования PKI, известного как «рукопожатие SSL/TLS». Давайте рассмотрим этот процесс немного подробнее:

1. Во-первых, когда клиент (браузер) посещает веб-сервер по запросу пользователя, клиент отправляет серверу свои поддерживаемые комплекты шифров и совместимую версию SSL/TLS, чтобы инициировать соединение. Это рассматривается, как сообщение «привет клиенту».

2. В свою очередь, веб-сервер проверяет комплекты шифров вместе с версией SSL/TLS и отправляет свой открытый сертификат клиенту вместе с сообщением «сервер привет».

3. Получив файл сертификата, клиент (браузер) аутентифицирует его. Если сертификат признан действительным, браузер инициирует процесс проверки секретного ключа, зашифровав «секретный ключ» открытым ключом сертификата SSL/TLS.

4. В свою очередь, веб-сервер дешифрует секретный ключ своим закрытым ключом.

5. Теперь и клиент, и сервер генерируют сеансовые ключи из случайного клиента, случайного сервера. Этот ключ сеанса, сгенерированный обоими, должен быть одинаковым.

6. Клиент отправляет «готовое» сообщение, зашифрованное с помощью ключа сеанса.

7. Сервер отправляет «готовое» сообщение, зашифрованное с помощью ключа сеанса.

После того как все вышеперечисленные шаги выполнены и процесс установления связи SSL/TLS завершен, между клиентом и браузером устанавливается безопасное соединение.

(Примечание. Вышеупомянутый процесс рукопожатия относится к TLS версии 1.2. Хотя этот процесс довольно сложный, мы упростили его здесь для лучшего понимания. Ознакомьтесь с этим постом для более подробного изучения процесса SSL / TLS. Это также важно отметить, что TLS 1.3 также используется, но TLS 1.2 используется чаще на момент написания этой статьи.)

Последнее слово

Мы думаем, что полностью ответили на ваш вопрос «что такое PKI?» Как вы теперь знаете, инфраструктура открытых ключей — это каменная стена, которая защищает киберпреступников от наших электронных писем, паролей, финансовых данных, личных сообщений и т. д. Это то, что формирует основу сегодняшней веб-безопасности — и невозможно представить мир без это, учитывая, что PKI защищает нас от многих фронтов.

Является ли PKI неразрушимым? Нет, у него есть возможности для улучшения; и именно поэтому время от времени мы видим изменения в экосистеме PKI. Ведущие мировые Центры сертификации активно действуют и всегда ищут способы улучшить нашу безопасность. Можно с уверенностью сказать, что мы в лучших руках.

НОУ ИНТУИТ | Лекция | Основные компоненты и сервисы PKI

Аннотация: Рассматриваются основные компоненты PKI, описываются функции удостоверяющего и регистрационного центров, репозитория, архива сертификатов, серверных компонентов PKI, приводится краткая характеристика сервисов PKI и сервисов, базирующихся на PKI, обсуждаются криптографические и вспомогательные сервисы, сервисы управления сертификатами.

Основные компоненты PKI

Нельзя утверждать, что PKI сама по себе является инфраструктурой безопасности, но она может быть основой всеобъемлющей инфраструктуры безопасности. Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой реализуются и предоставляются с использованием технологии открытых ключей. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами эффективной PKI являются:

• удостоверяющий центр ;
• регистрационный центр ;
• репозиторий сертификатов;
• архив сертификатов ;
• конечные субъекты (пользователи).

Взаимодействие компонентов PKI иллюстрирует рис. 3.1. В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей. Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом [9].

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А желает отправить конфиденциальное сообщение пользователю В, с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ) ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа (или просто сертификатом) и более детально обсуждается в
«Сертификаты открытых ключей»
. По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ — в этом смысле удостоверяющий центр уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа [213].

Удостоверяющий центр объединяет людей, процессы, программные и аппаратные средства, вовлеченные в безопасное связывание имен пользователей и их открытых ключей. Удостоверяющий центр известен субъектам PKI по двум атрибутам: названию и открытому ключу. УЦ включает свое имя в каждый выпущенный им сертификат и в список аннулированных сертификатов (САС) и подписывает их при помощи собственного секретного ключа. Пользователи могут легко идентифицировать сертификаты по имени УЦ и убедиться в их подлинности, используя его открытый ключ.

Рис.
3.1.
Основные компоненты PKI

Удостоверяющий центр — главный управляющий компонент PKI — выполняет следующие основные функции:

• формирует собственный секретный ключ; если является головным УЦ, то издает и подписывает свой сертификат, называемый самоизданным или самоподписанным ;
• выпускает (то есть создает и подписывает) сертификаты открытых ключей подчиненных удостоверяющих центров и конечных субъектов PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;
• intuit.ru/2010/edi»>поддерживает реестр сертификатов (базу всех изданных сертификатов) и формирует списки аннулированных сертификатов (САС) с регулярностью, определенной регламентом УЦ ;
• публикует информацию о статусе сертификатов и списков аннулированных сертификатов.

При необходимости УЦ может делегировать некоторые функции другим компонентам PKI. Выпуская сертификат открытого ключа, УЦ тем самым подтверждает, что лицо, указанное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу. Включая в сертификат дополнительную информацию, УЦ подтверждает ее принадлежность этому субъекту. Дополнительная информация может быть контактной (например, адрес электронной почты) или содержать сведения о типах приложений, которые могут работать с данным сертификатом. Когда субъектом сертификата является другой УЦ, издатель подтверждает надежность выпущенных этим центром сертификатов.

Действия УЦ ограничены политикой применения сертификатов (ППС), которая определяет назначение и содержание сертификатов. УЦ выполняет адекватную защиту своего секретного ключа и открыто публикует свою политику, чтобы пользователи могли ознакомиться с назначением и правилами использования сертификатов. Ознакомившись с политикой применения сертификатов и решив, что доверяют УЦ и его деловым операциям, пользователи могут полагаться на сертификаты, выпущенные этим центром. Таким образом, в PKI удостоверяющие центры выступают как доверенная третья сторона.

Инфраструктуры открытых ключей (PKI). Введение в криптографию

Инфраструктуры открытых ключей (PKI)

PKI, как и простой сервер-депозитарий, имеет базу данных для хранения сертификатов, но, в то же время, предоставляет сервисы и протоколы по управлению открытыми ключами. В них входят возможности выпуска (издания), отзыва (аннулирования) и системы доверия сертификатов. Главной же особенностью PKI является наличие компонентов, известных как Центр сертификации(Certification Authority, CA) и Центр регистрации (Registration Authority, RA).

Центр сертификации (ЦС) издаёт цифровые сертификаты и подписывает их своим закрытым ключом. Из-за важности своей роли, ЦС является главным компонентом инфраструктуры PKI. Используя открытый ключ ЦС, любой пользователь, желающий проверить подлинность конкретного сертификата, сверяет подпись Центра сертификации и, следовательно, удостоверяется в целостности содержащейся в сертификате информации и, что более важно, во взаимосвязности сведений сертификата и открытого ключа.

Как правило, Центром регистрации (ЦР) называется система людей, механизмов и процессов, служащая целям зачисления новых пользователей в структуру PKI и дальнейшего администрирования постоянных пользователей системы. Также ЦР может производить «веттинг» — процедуру проверки того, принадлежит ли конкретный открытый ключ предполагаемому владельцу.

ЦР — это человеческое сообщество: лицо, группа, департамент, компания или иная ассоциация. С другой стороны, ЦС — обычно, программа, выдающая сертификаты своим зарегистрированным пользователям. Существуют и защищённые от взлома аппаратные реализации ЦС, сооружённые из пуленепробиваемых материалов и снабжённые «красной кнопкой», аннулирующей в критической ситуации все выданные ключи.

Роль ЦР-ЦС аналогична той, что выполняет государственный паспортный отдел: одни его сотрудники проверяют, требуется ли выдача паспорта (работа ЦР), а другие изготовляют сам документ и передают его владельцу (работа ЦС). Наличие ЦР для ЦС не обязательно, но оно обеспечивает разделение функций, которое иногда необходимо.

КриптоПро | Что такое PKI

Публикация: 07 Июль 2005 — 15:41, редакция: 21.07.2011 13:36

PKI

Инфраструктура управления открытыми ключами (PKI — public key infrustructure) — это современная система управления криптографической защитой, в том числе и в агрессивной среде, например Интернет. Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП).

Используя криптопровайдер КриптоПро CSP пользователи ОС MS Windows могут воспользоваться стандартными программными средствами фирмы Microsoft для реализации и использования решений, основанных на Инфраструктуре Открытых Ключей. К этим средствам относятся:

Обучение

Учебный центр Информзащита предлагает следующие курсы, связанные с PKI :

[КП06] Использование ЭЦП и PKI. Юридические, теоретические и практические основы использования электронной цифровой подписи и инфраструктуры открытых ключей в прикладных системах организации.

[КП03] Теория и Практика применения PKI. Теоретические основы, стандарты и варианты практических подходов к построению инфраструктуры открытых ключей.

Построение PKI на основе продуктов Microsoft с использованием сертифицированного криптопровайдера КриптоПро CSP.

Академия АйТи предлагает следующие курсы, связанные с PKI:

Программа учебного курса [PKI-001] Применение инфраструктуры открытых ключей и ЭЦП ориентирована на администраторов безопасности, эксплуатирующих программные продукты средство криптографической защиты информации «КриптоПро CSP» и приложение «КриптоАРМ».

Рассматриваются вопросы внутренней структуры продуктов, процессы их инсталляции, эксплуатации и администрирования. Анализируются Российское законодательство, относящееся к использованию PKI, процедуры подготовки операционной системы (ОС) для установки и эксплуатации решений.

ИОК (PKI) – инфраструктура открытых ключей — Студопедия. Нет

Сегодня имеет смысл говорить уже не просто о удостоверяющем центре, а о целой комплексной структуре – PKI (ИОК– инфраструктура открытых ключей).

PKI – это комплексная система, обеспечивающая все необходимые сервисы для использования технологии с открытыми ключами. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде с открытыми ключами.

Эффективная PKI должна включать следующие компоненты:

· центр сертификации;

· центр регистрации;

· архив сертификатов;

· систему аннулирования сертификатов;

· систему создания резервных копий и восстановления ключей;

· систему поддержки невозможности отказа от цифровых подписей;

· систему автоматической корректировки пар ключей и сертификатов;

· систему управления «историей» ключей;

· систему поддержки взаимной сертификации;

· конечных пользователей и клиентское программное обеспечение, взаимодействующее со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий Центр – основная управляющая компонента PKI, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, УС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.

К основным функция ЦС относятся:

· формирование собственного секретного ключа и сертификата ЦС;

· формирование сертификатов подчиненных Центров;

· формирование сертификатов открытых ключей конечных пользователей;

· формирование списка отозванных сертификатов;

· ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.

Центр Регистрации – опциональная компонента PKI, предназначенная для регистрации конечных пользователей. Основная задача ЦР – регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.

Пользователи – Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие PKI.

Сертификация в инфраструктуре с открытыми ключами строится по двум основным типам архитектуры (рисунок 11.2): иерархической (сверху вниз) и взаимной сертификации (разделенное доверие). В иерархической модели в сертификации участвуют следующие субъекты.

Рисунок 11.2. Архитектура сертификации.

Организация систем электронного документооборота

Поскольку ЭЦП и инфраструктура открытых ключей позволяет сделать электронный документ юридически значимым, появляется возможность перехода государственных учреждений на АСДОУ нового поколения, снабженные средствами электронной цифровой подписи (ЭЦП). Это позволяет придавать той электронной версии, которая создается в АСДОУ интегрированными офисными приложениями (такими как Microsoft Word или Excel), статус полноценного электронного документа. Правовую основу для такого перехода создал Закон Республики Беларусь «Об электронном документе», введенный в действие с января 2000 г. Он придает таким документам равную юридическую силу с бумажными при условии наличия ЭЦП, средства создания которой прошли национальную сертификацию. В 1999 году разработаны и приняты национальные стандарты Республики Беларусь для защиты электронных документов (СТБ 1176.1–99 «Информационная технология. Защита информации. Функция хеширования», СТБ 1176.2–99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи»). Наиболее общие требования по организации работы с электронными документами изложены в стандарте «Документы электронные. Правила выполнения, обращения и хранения»
(СТБ 1221–2000), который вступил в силу с 1 сентября 2000 г.

В Республике Беларусь реальный процесс перехода на электронные документы начался после создания системы сертификации средств ЭЦП. Органом по сертификации средств защиты информации, аккредитованным Госстандартом Республики Беларусь в 1997 г. , является Государственный центр безопасности информации при Президенте Республики Беларусь (ГЦБИ). В настоящее время создана и аккредитована испытательная лаборатория в Национальном научно-исследовательском центре прикладных проблем математики и информатики при БГУ. С 2003 г. в Национальной системе сертификации Республики Беларусь были выданы 12 сертификатов на средства ЭЦП отечественного производства. Среди них решения, разработанные ЗАО «НТЦ Контакт», ООО «Энигма». Уже несколько лет такие средства реально используются в сфере межбанковских расчетов.

Многие органы государственного управления технически и организационно готовы к внедрению таких систем либо уже имеют системы, в которых интеграция средств ЭЦП может быть реализована в ближайшее время.

Инфраструктура открытого ключа

— приложения Win32

• date»> 31.05.2018
• 3 минуты на чтение

В этой статье

Криптография с открытым ключом (также называемая криптографией с асимметричным ключом) использует пару ключей для шифрования и дешифрования содержимого. Пара ключей состоит из одного открытого и одного закрытого ключей, которые связаны математически.Человек, который намеревается безопасно обмениваться данными с другими, может распространять открытый ключ , но должен хранить в секрете закрытый ключ . Контент, зашифрованный с помощью одного из ключей, можно расшифровать с помощью другого. Предположим, например, что Боб хочет отправить Алисе защищенное сообщение электронной почты. Это можно сделать следующим образом:

1. И Боб, и Алиса имеют свои собственные пары ключей. Они надежно хранят свои закрытые ключи при себе и отправляют свои открытые ключи напрямую друг другу.
2. Боб использует открытый ключ Алисы для шифрования сообщения и отправляет его ей.
3. Алиса использует свой закрытый ключ для расшифровки сообщения.

Этот упрощенный пример подчеркивает, по крайней мере, одно очевидное беспокойство, которое Боб должен иметь по поводу открытого ключа, который он использовал для шифрования сообщения. То есть он не может с уверенностью знать, что ключ, который он использовал для шифрования, действительно принадлежал Алисе. Возможно, что другая сторона, контролирующая канал связи между Бобом и Алисой, подменила другой ключ.

Концепция инфраструктуры открытых ключей была разработана для решения этой и других проблем. Инфраструктура открытых ключей (PKI) состоит из программных и аппаратных элементов, которые доверенная третья сторона может использовать для установления целостности и владения открытым ключом. Доверенная сторона, называемая центром сертификации (CA), обычно выполняет это путем выпуска подписанных (зашифрованных) двоичных сертификатов, которые подтверждают идентичность субъекта сертификата и связывают эту идентичность с открытым ключом, содержащимся в сертификате. ЦС подписывает сертификат, используя свой закрытый ключ. Он выдает соответствующий открытый ключ всем заинтересованным сторонам в самозаверяющем сертификате CA. Когда используется CA, предыдущий пример можно изменить следующим образом:

1. Предположим, что ЦС выпустил подписанный цифровой сертификат, содержащий его открытый ключ. ЦС самоподписывает этот сертификат, используя закрытый ключ, соответствующий открытому ключу в сертификате.
2. Алиса и Боб соглашаются использовать CA для проверки своей личности.
3. Алиса запрашивает сертификат открытого ключа у ЦС.
4. ЦС проверяет ее личность, вычисляет хэш содержимого, из которого состоит ее сертификат, подписывает хэш, используя закрытый ключ, который соответствует открытому ключу в опубликованном сертификате ЦС, создает новый сертификат, объединяя содержимое сертификата и подписанный хэш и делает новый сертификат общедоступным.
5. Боб извлекает сертификат, расшифровывает подписанный хэш с помощью открытого ключа CA, вычисляет новый хеш содержимого сертификата и сравнивает два хеша. Если хеши совпадают, подпись проверяется, и Боб может предположить, что открытый ключ в сертификате действительно принадлежит Алисе.
6. Боб использует проверенный открытый ключ Алисы, чтобы зашифровать ей сообщение.
7. Алиса использует свой закрытый ключ для расшифровки сообщения от Боба.

Таким образом, процесс подписания сертификата позволяет Бобу убедиться, что открытый ключ не был подделан или поврежден во время передачи. Перед выдачей сертификата ЦС хеширует содержимое, подписывает (шифрует) хэш своим собственным закрытым ключом и включает зашифрованный хэш в выпущенный сертификат.Боб проверяет содержимое сертификата, расшифровывая хэш с помощью открытого ключа CA, выполняя отдельный хеш содержимого сертификата и сравнивая два хеша. Если они совпадают, Боб может быть достаточно уверен, что сертификат и открытый ключ, который он содержит, не были изменены.

Типичная PKI состоит из следующих элементов.

Элемент	Описание
Центр сертификации	Выступает в качестве основы доверия в инфраструктуре открытых ключей и предоставляет услуги, которые удостоверяют личность людей, компьютеров и других объектов в сети.
Регистрирующий орган	Сертифицирован корневым центром сертификации для выдачи сертификатов для определенных целей, разрешенных корневым центром. В Microsoft PKI центр регистрации (RA) обычно называется подчиненным центром сертификации.
База данных сертификатов	Сохраняет запросы сертификатов, выпущенные и отозванные сертификаты и запросы сертификатов в CA или RA.
Магазин сертификатов	Сохраняет выданные сертификаты и ожидающие или отклоненные запросы сертификатов на локальном компьютере.
Сервер архивации ключей	Сохраняет зашифрованные закрытые ключи в базе данных сертификатов для восстановления после потери.

API регистрации сертификатов позволяет отправлять запросы на архивирование сертификатов и ключей в центры сертификации и регистрации и устанавливать выпущенный сертификат на локальном компьютере. Это не позволяет вам напрямую управлять базой данных сертификатов или хранилищем сертификатов.

В следующих темах более подробно обсуждается инфраструктура открытых ключей Microsoft:

Об API регистрации сертификатов

Защита PKI: мониторинг инфраструктуры открытых ключей

• 31.08.2016
• 14 минут на чтение

В этой статье

Применимо к: Windows Server 2003 с пакетом обновления 2 (SP2), Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012

Ключевым компонентом любого плана безопасности PKI является постоянный мониторинг инфраструктуры и поддерживающих процессов.Для критически важных систем, таких как центр сертификации, жизненно важно собрать правильную информацию, настроить соответствующие оповещения и определить процессы проверки, чтобы в случае возникновения проблемы ее можно было должным образом расследовать. Центры сертификации следует рассматривать как высокоэффективные системы, и за ними следует внимательно следить на предмет подозрительной активности.

План ведения журнала безопасности и мониторинга для традиционного бизнес-приложения обычно включает в себя просмотр определенных журналов на предмет индикаторов подозрительной активности. Хотя это жизненно важная часть ведения журналов и мониторинга PKI, есть еще несколько аспектов, которые следует учитывать.При работе с автономными центрами сертификации необходимо также отслеживать физический доступ к автономным центрам сертификации и создавать процесс проверки логического доступа к этим системам. Вы также должны отслеживать и проверять физический доступ ко всем онлайн-системам, включая RA и CA.

События, обсуждаемые в этом разделе, помогут вам в создании плана мониторинга безопасности для PKI. Мониторинг PKI на предмет операционных проблем в этой статье не рассматривается. Рекомендации предназначены исключительно для определения вредоносной или подозрительной активности, связанной с PKI.

Мониторинг событий

Событие определяется как любое действие, записанное для предоставления подробной истории произошедших действий. Некоторые события можно отслеживать в электронном виде в системе, в то время как другие можно отслеживать с помощью ручных бумажных процессов. Любые собранные события, электронные или иные, должны содержать следующую информацию:

• Тип события

• Дата и время наступления события

• Идентификатор, зарегистрировавший событие

• Успех или неудача, если применимо

• Описание события

Независимо от технологии, используемой для генерации или сбора предупреждений, жизненно важно иметь процесс, который задействует правильные группы поддержки, если события указывают на то, что инцидент безопасности произошел или произойдет.События, вызывающие предупреждение системы безопасности, должны содержать следующее:

• Высокая вероятность того, что возникновение события указывает на несанкционированную деятельность

• Мало ложных срабатываний

• Результат расследования / судебно-медицинской экспертизы

Два типа событий должны вызывать предупреждения системы безопасности:

1. События, в которых даже одно событие указывает на несанкционированную деятельность

2. Накопление событий выше ожидаемого и принятого базового уровня

Пример первого типа события происходит, если пользователь, не авторизованный для интерактивного входа в CA, регистрирует событие входа в систему. Примером события второго типа является несколько неудачных попыток доступа пользователя, что может быть признаком атаки методом подбора пароля методом грубой силы.

Для событий, собираемых в электронном виде, разработайте план для постоянного хранения собранных данных о событиях и хранения событий. Рассмотрите возможность использования таких инструментов, как Windows Event Forwarding® (WEF), для агрегирования событий в отдельной системе для анализа и длительного хранения. Для событий, записываемых вручную, установите процессы для архивирования и проверки журналов событий на предмет отклонений через регулярные промежутки времени.

Мониторинг объектов и атрибутов Active Directory

Следующие важные элементы Active Directory® необходимо отслеживать для обнаружения компрометации PKI на основе AD CS:

• Изменения в критических группах, контролирующих доступ к ЦС. Это будет включать любые настраиваемые группы, содержащие пользователей с повышенными правами в PKI для управления центрами сертификации, RA или регистрации для важных типов сертификатов

• Изменения в членстве в локальной группе (группах) домена «Cert Publishers»

• Изменения в учетных записях, имеющих привилегированный доступ к PKI. Следите за изменениями атрибутов на вкладке «Учетная запись» (cn, name, sAMAccountName, userPrincipalName или userAccountControl). При использовании дополнительных программных пакетов, которые действуют как RA для CA, включите в этот список учетные записи служб, используемые этими системами.

• Несанкционированные изменения в шаблонах сертификатов (см. Мониторинг изменений в шаблонах сертификатов)

Мониторинг деятельности центра сертификации

Поскольку CA — это важная система, внимательно следите за ней на предмет аномальной активности.События, за которыми необходимо внимательно следить, можно разделить на две основные категории:

1. События, за которыми следует следить в любой системе с высокими ценностями

2. События, относящиеся к роли ЦС AD CS

Ниже приведены некоторые действия, которые необходимо отслеживать, чтобы помочь обнаружить компрометацию PKI на основе AD CS:

Общие события

• Успешный и неудачный вход в систему

• Добавление, удаление или удаление учетных записей пользователей

• Изменения в членстве в группе локальных администраторов

• Использование встроенной учетной записи администратора

• Изменения системного времени за пределами определенного порога (изменения более десяти минут)

• Аномальные события запуска или выключения

• Очистка журналов событий

• Отключение или изменение антивирусного и антивредоносного программного обеспечения

• Принятые меры защиты от вирусов или вредоносных программ (карантин и т. Д.))

• Установка новых услуг

• Запуск или остановка неизвестных процессов

Деятельность, связанная с ЦА

• Несанкционированное изменение настроек безопасности ЦС

• Отзыв значительного количества сертификатов за короткий период времени

• Изменения в настройках фильтра аудита для CA

• Выдача сертификатов с ограниченным использованием (агент регистрации, агент восстановления ключей)

• Изменения в активном модуле политики на CA

• Изменения в настроенных агентах восстановления ключей

• Изменения в настройках разделения ролей, если разделение ролей включено

• Добавление шаблонов сертификатов, которые обычно не выдаются CA

• Добавление или удаление сертификатов из базы ЦС

• Использование закрытого ключа CA за пределами certsrv. exe (certutil.exe, пользовательские исполняемые файлы или сценарии)

• Подозрительное использование учетных записей, принадлежащих регистрирующим органам. Например, если система управления смарт-картами использует определенную учетную запись службы для запроса сертификатов из центра сертификации, и эта учетная запись выполняет запросы сертификатов из систем, которые не являются частью системы управления смарт-картами.

Запись и просмотр дополнительных событий

Помимо мониторинга центров сертификации, находящихся в сети, и выдачи сертификатов, также важно записывать и просматривать другие события, которые могут повлиять на безопасность PKI.Эти события могут не регистрироваться в электронном виде, но могут зависеть от бумажных журналов и требуют периодической проверки на предмет аномалий. Ниже приведены некоторые рекомендации по дополнительным действиям для записи и анализа:

• Вход и выход в безопасную зону, где хранится или работает оборудование PKI. Это может включать доступ к защищенному отсеку CA, доступ к серверной комнате, где расположены CA, просмотр отснятого с камеры материала и т. Д.

• Доступ к аппаратным модулям безопасности (HSM) и любым токенам, используемым для активации HSM.Это включает любую транспортировку модулей HSM или жетонов при их физическом перемещении.

• Действия брандмауэра / маршрутизатора, которые могут указывать на взлом

• Доступ к любым защищенным хранилищам, содержащим резервные копии PKI или конфиденциальные данные. Примеры включают журналы доступа к сейфу, записи доступа к объекту архива документов и т. Д.

Настройка политики аудита Microsoft Windows

Чтобы в полной мере использовать возможности аудита, доступные в AD CS, необходимо настроить соответствующую политику аудита Microsoft Windows® для всех регистрируемых событий.Начиная с Microsoft Windows Vista® и Microsoft Windows Server 2008®, Microsoft улучшила способ выбора категорий журнала событий, создав подкатегории для каждой основной категории аудита. Подкатегории позволяют проводить гораздо более детальный аудит, чем он мог бы быть при использовании основных категорий. Используя подкатегории, можно активировать части определенной основной категории, а события, в которых нет необходимости, можно исключить. Каждую подкатегорию политики аудита можно включить для событий «Успех», «Ошибка» или «Успех и сбой».

Полное описание политик аудита и подкатегорий Microsoft Windows® см. В Рекомендации по защите Active Directory. Чтобы просмотреть текущую политику аудита для системы, введите в командной строке следующее:

  auditpol / get / категория: *
  

На следующем снимке экрана показано состояние политики аудита.

Чтобы AD CS регистрировал все настроенные события, в политике аудита должна быть настроена подкатегория «Audit Certification Services» для успешной и неудачной работы.Чтобы настроить это с помощью auditpol.exe, введите в командной строке следующее:

  auditpol / set / subcategory: «Службы сертификации» / успех: включить / сбой: включить
  

Хотя политику аудита можно настроить для каждого компьютера с помощью auditpol. exe, предпочтительным методом для присоединенных к домену центров сертификации является применение соответствующей общей политики аудита и ее настройка с помощью групповой политики. Чтобы установить политику аудита с помощью групповых политик, настройте подкатегорию «Службы сертификации» в разделе Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Расширенная политика аудита .Установите подкатегорию, чтобы она была включена для Успех и Неудача . Смотрите скриншот ниже.

Аудит процесса командной строки

Начиная с Windows Server 2012 R2®, дополнительные данные, содержащие информацию из командной строки, могут собираться при аудите событий создания процесса. Эти данные включают точную команду, используемую для запуска процесса, включая параметры командной строки. Более подробную информацию о настройке аудита процессов командной строки можно найти здесь.

Настройка аудита центра сертификации

Роль ЦС в службах сертификации Active Directory® включает два основных источника событий:

• Microsoft-Windows-CertificationAuthority — содержит операционные события и события установки, связанные с CA. Для записи этих событий в журнал приложений аудит доступа к объектам не требуется.

• Microsoft-Windows-Security-Auditing — Содержит многочисленные события, связанные с безопасностью и настройкой CA.Для служб сертификации необходимо настроить аудит доступа к объектам и настроить соответствующий фильтр аудита ЦС.

Фильтр аудита CA — это значение битовой маски, хранящееся в реестре CA. См. Раздел Защита PKI: Приложение B: Фильтр аудита центра сертификации для получения подробной информации о каждом отдельном значении и о том, какие флаги необходимы для запуска определенных событий аудита. Как показано на следующем снимке экрана, сделанном из диалогового окна Properties CA, для аудита доступны семь категорий:

• Резервное копирование и восстановление базы данных CA — контролирует регистрацию событий, инициированных, когда для базы данных CA выдаются команды резервного копирования или восстановления

• Изменить конфигурацию CA — Управляет регистрацией событий, связанных с изменением свойств и конфигурации CA, через оснастку CA. Примерами регистрируемых событий являются изменение периодов действия CRL, изменение политики или конфигурации модуля выхода или обновление настроенных расширений CDP / AIA.

• Изменить параметры безопасности ЦС — Управляет регистрацией событий, инициированных изменением параметров безопасности ЦС, выполненным с помощью оснастки ЦС. Примеры событий включают включение / отключение разделения ролей, изменение фильтра аудита или изменение списка управления доступом для центра сертификации.

• Выдача и управление запросами сертификатов — Управляет регистрацией событий, связанных с выдачей сертификатов.Это включает в себя ведение журнала, когда запрос получен или установлен в состояние ожидания, отклонения и отправки. В средах выдачи большого объема это может генерировать большое количество предупреждений, но рекомендуется включать его, где это возможно, потому что это обеспечивает надежный контрольный журнал всех событий выдачи.

• Отзыв сертификатов и публикация CRL — Управляет аудитом событий, связанных с отзывом и публикацией CRL.

• Хранить и извлекать заархивированные ключи — Управляет аудитом событий, связанных с ключами архивирования CA или восстановлением ранее заархивированных ключей.Это включает в себя, когда ключ импортируется в базу данных CA и архивируется.

• Запуск и остановка служб сертификации Active Directory. — Управляет созданием событий аудита при каждом запуске и остановке AD CS. Аналогичное событие также регистрируется в журнале приложения, хотя включение этого события записывает событие в журнал безопасности. Если этот параметр включен, криптографический хэш базы данных ЦС берется при запуске и завершении работы службы ЦС. Когда база данных становится большой, это может начать влиять на доступность службы, так как интерфейс RPC для CA недоступен, пока вычисляется хэш.Время запуска и остановки службы может быть очень большим в зависимости от размера базы данных.

Расширенный мониторинг CA

Хотя включение аудита для AD CS обеспечивает прочную основу для регистрации событий, которые происходят в рамках службы CA, в CA могут происходить дополнительные события, которые могут указывать на компрометацию или потенциальную компрометацию. Эти дополнительные события полезно фиксировать в дополнение к событиям аудита CA.

Аудит изменений реестра ЦС

Несколько категорий аудита CA фиксируют события, инициируемые, когда пользователь изменяет параметр конфигурации в оснастке CA.Существует несколько способов изменить многие настройки центра сертификации. Например, чтобы изменить срок действия списков отзыва сертификатов, подписанных центром сертификации, с одной недели на две недели, вы можете использовать оснастку CA, как показано на снимке экрана ниже.

Другой метод выполнения той же задачи включает использование certutil.exe со следующими командами:

  certutil –setreg CA \ CRLPeriod Weeks

certutil –setreg CA \ CRLPeriodUnits 2
  

Еще один метод предполагает использование regedit. exe:

Если фильтр аудита настроен на захват этого события, единственный метод, который запускает предупреждение, — это внесение изменений через оснастку. Чтобы зафиксировать изменения всех параметров конфигурации AD CS, хранящихся локально в центре сертификации, настройте аудит реестра специально для разделов реестра AD CS. Не рекомендуется настраивать аудит реестра на широком уровне, поскольку он может генерировать очень большое количество предупреждений.

Чтобы включить аудит реестра, настройте политику аудита Microsoft Windows®.Это можно сделать с помощью auditpol.exe или с помощью локальной или групповой политики.

Чтобы включить аудит реестра с помощью auditpol.exe, используйте следующие параметры:

  auditpol / set / subcategory: «Реестр» / успех: включить / сбой: включить
  

Чтобы установить политику аудита с помощью групповых политик, настройте подкатегорию «Реестр аудита» в разделе Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Расширенная политика аудита . Установите подкатегорию, чтобы она была включена для успеха и неудачи.

После включения аудита реестра настройте аудит для разделов реестра служб сертификации. Чтобы настроить аудит для раздела реестра AD CS CA:

1. Откройте regedit и перейдите к HKLM \ System \ Services \ CertSvc \ Configuration \

2. Щелкните правой кнопкой мыши раздел реестра Configuration и выберите Permissions…

3. Нажмите Дополнительно .

4. Щелкните Auditing .

5. Щелкните Выберите участника и выберите Authenticated Users . В раскрывающемся меню для Тип выберите Все и для Применимо к выберите Этот ключ и подразделы .

6. Щелкните Показать дополнительные разрешения и выберите значения, показанные ниже.

Конкретные значения реестра, за которыми нужно следить, см. В разделе «Защита PKI: приложение A: отслеживаемые события».Дополнительные сведения о настройке аудита реестра см. В разделе Использование групповой политики для аудита ключей реестра в Windows Server 2003.

Отслеживание изменений в шаблонах сертификатов

Шаблоны сертификатов — это объекты Active Directory®, которые определяют ключевые атрибуты сертификатов, выданных центром сертификации предприятия. Автономные центры сертификации не используют шаблоны сертификатов. Вместо этого они полагаются на информацию, предоставленную в запросах сертификатов и предоставленную менеджерами сертификатов для определения содержимого сертификата.ЦС предприятия использует информацию в шаблонах сертификатов, чтобы определить, у кого есть разрешения на регистрацию и для каких целей выданный сертификат должен быть действительным. Если злоумышленник имеет возможность изменять шаблон сертификата в Active Directory®, он потенциально может добавить дополнительные использования или изменить разрешения на регистрацию, что может привести к выдаче сертификатов, разрешающих дополнительный доступ.

AD CS включает несколько событий аудита, которые позволяют отслеживать изменения в шаблонах сертификатов, которые активно используются центром сертификации.Доступны следующие события аудита:

• Службы сертификации загрузили шаблон (идентификатор события 4898) — это событие запускается всякий раз, когда центр сертификации загружает шаблон в первый раз. Например, если ЦС настроен с тремя шаблонами, при запуске это событие будет запускаться для каждого шаблона по мере его загрузки. Если четвертый шаблон добавлен во время работы CA, событие будет инициировано при первой попытке зарегистрировать шаблон в CA.

• Шаблон служб сертификации был обновлен (идентификатор события 4899) — Это событие запускается, когда для шаблона, загруженного ЦС, обновлен атрибут и предпринимается попытка регистрации для шаблона.Например, если в шаблон добавляется дополнительный EKU, это событие запускается и предоставляет достаточно информации, чтобы определить вносимое изменение.

• Безопасность шаблона служб сертификации была обновлена ​​(идентификатор события 4900) — Это событие запускается, когда изменяются разрешения безопасности для шаблона сертификата, загруженного в ЦС, и происходит событие регистрации для шаблона.

Для записи событий изменения шаблона настройте ЦС для аудита событий ЦС, как описано в разделах «Настройка политики аудита Microsoft Windows» и «Настройка аудита центра сертификации».Кроме того, включите параметр аудита ЦС для «Изменить параметры ЦС» и включите конкретную конфигурацию политики. Чтобы настроить конфигурацию политики для включения аудита событий шаблона, выполните следующую команду:

  certutil –setreg policy \ EditFlags + EDITF_AUDITCERTTEMPLATELOAD
  

Сценарии шаблонов сертификатов для мониторинга

При аудите шаблонов учитывайте следующие сценарии мониторинга:

• Изменения в шаблонах, которые добавляют новые EKU (подпись кода, агент регистрации, вход со смарт-картой и т. Д.))

• Добавление неожиданных новых шаблонов на CA

• Изменения разрешений для зачисления

• Изменения разрешений на запись в шаблон

• Назначение новых шаблонов, позволяющих «поставить под запрос» для построения предмета

Заключение

Внедрение мониторинга и оповещения для систем PKI — это надежный детективный контроль, который может помочь ограничить масштабы ущерба, причиненного атакой, или идентифицировать атаку до ее успеха.Мониторинг поможет вам выявить неавторизованные изменения в среде, которые могут позволить выдачу сертификатов неавторизованным пользователям или содержат неожиданное использование.

Полный список рекомендаций по мониторингу PKI, а также уровень воздействия на бизнес, при котором вы должны рассмотреть возможность их внедрения, см. В разделе Защита PKI: Приложение F: Список рекомендаций по уровню воздействия.

См. Также

Защита инфраструктуры открытых ключей (PKI)
Защита PKI: Введение
Защита PKI: планирование иерархии CA
Защита PKI: физические средства защиты PKI
Защита PKI: безопасность процессов PKI
Защита PKI: технические средства защиты PKI
Защита PKI: планирование алгоритмов и использования сертификатов
Защита PKI: защита ключей CA и критических артефактов
Защита PKI: компромиссный ответ
Защита PKI: Приложение A: Мониторинг событий
Защита PKI: Приложение B: Фильтр аудита центра сертификации
Защита PKI: Приложение C: Делегирование разрешений PKI Active Directory
Защита PKI: Приложение D: Глоссарий терминов
Защита PKI: Приложение E: Основы PKI
Защита PKI: Приложение F: Список рекомендаций по уровню воздействия
Безопасность и защита
Защитите Windows Server 2012 R2 и Windows Server 2012

Управление элементами инфраструктуры открытых ключей (PKI)

 orapki wallet create -wallet / private / user / orapki_use / server -auto_login
 

 orapki добавление кошелька -wallet / private / user / orapki_use / server / ewallet.p12 -dn 'CN = server_test, C = US' -keysize 2048
 

 экспорт кошелька orapki -wallet / private / user / orapki_use / server -dn 'CN = server_test, C = US' -request / private / user / orapki_use / server / creq.текст
 

 orapki cert create -wallet / private / user / orapki_use / root -request /private/user/orapki_use/server/creq.txt -cert /private/user/orapki_use/server/cert.txt -validity 3650
 

 orapki cert display -cert /private/user/orapki_use/server/cert.txt -complete
 

 orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -trusted_cert -cert /private/user/orapki_use/root/b64certificate.txt
 

 orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -user_cert -cert /private/user/orapki_use/server/cert.txt
 

Руководство по настройке инфраструктуры открытого ключа

, Cisco IOS версии 15MT — Обзор PKI Cisco IOS Понимание и планирование PKI [Поддержка]

PKI состоит из следующих объектов:

• Пиры, обменивающиеся данными в защищенной сети

• Как минимум один центр сертификации (ЦС), который предоставляет и поддерживает сертификаты.

• Цифровые сертификаты, которые содержат такую ​​информацию, как срок действия сертификата, идентификационную информацию однорангового узла, шифрование.
  ключи, которые используются для защищенной связи, и подпись выдающего ЦС

• Необязательный орган регистрации (RA) для разгрузки CA путем обработки запросов на регистрацию

• Механизм распространения (например, Lightweight Directory Access Protocol [LDAP] или HTTP) для списков отзыва сертификатов.
  (CRL)

PKI предоставляет клиентам масштабируемый и безопасный механизм для распределения, управления и отмены шифрования и идентификации
информация в защищенной сети передачи данных.Каждый объект (человек или устройство), участвующий в защищенном обмене данными, зарегистрирован
в PKI в процессе, в котором объект генерирует пару ключей Ривеста, Шамира и Адельмана (RSA) (один закрытый ключ и один
открытый ключ) и их личность подтверждена доверенным лицом (также известным как CA или точка доверия).

После того, как каждый объект регистрируется в PKI, каждому одноранговому узлу (также известному как конечный хост) в PKI предоставляется цифровой сертификат, который
был выдан ЦС. Когда одноранговые узлы должны согласовать защищенный сеанс связи, они обмениваются цифровыми сертификатами. На основе
на основе информации в сертификате одноранговый узел может подтвердить личность другого однорангового узла и установить зашифрованный сеанс
с открытыми ключами, содержащимися в сертификате.

Несмотря на то, что вы можете планировать и настраивать PKI различными способами, на рисунке ниже показаны основные компоненты.
которые составляют PKI и предлагают порядок, в котором может быть принято каждое решение в PKI.Рисунок является предлагаемым подходом;
вы можете настроить PKI с другой точки зрения.

Рисунок 1. Решение о том, как настроить PKI

PKI — Секреты двигателей | Vault by HashiCorp

Public Key Infrastructure

Treecrumb Bundesverwaltung

• Der Bundesrat

  • Админ Der Bundesrat.

    No related posts.