Pki инфраструктура: Инфраструктура открытых ключей — Википедия

Содержание

Инфраструктура открытых ключей — Википедия

Начало асимметричным шифрам было положено в работе «Новые направления в современной криптографии» Уитфилда Диффи и Мартина Хеллмана, опубликованной в 1976 году. Находясь под влиянием работы Ральфа Меркле (англ. Ralph Merkle) о распространении открытого ключа, они предложили метод получения секретных ключей, используя открытый канал. Этот метод экспоненциального обмена ключей, который стал известен как обмен ключами Диффи — Хеллмана, был первым опубликованным практичным методом для установления разделения секретного ключа между заверенными пользователями канала. В 2002 году Хеллман предложил называть данный алгоритм «Диффи — Хеллмана — Меркле», признавая вклад Меркле в изобретение криптографии с открытым ключом. Эта же схема была разработана Малькольмом Вильямсоном в 1970-х, но держалась в секрете до 1997 г. Метод Меркле по распространению открытого ключа был изобретён в 1974 и опубликован в 1978 году, его также называют загадкой Меркле.

В 1977 году учёными Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом из Массачусетского технологического института был разработан алгоритм шифрования, основанный на проблеме о разложении на множители. Система была названа по первым буквам их фамилий (RSA — Rivest, Shamir, Adleman). Эта же система была изобретена в 1973 году Клиффордом Коксом (англ. Clifford Cocks), работавшим в центре правительственной связи (GCHQ), но эта работа хранилась лишь во внутренних документах центра, поэтому о её существовании было неизвестно до 1977 года. RSA стал первым алгоритмом, пригодным и для шифрования, и для электронной подписи.

Упрощенно, PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой используя сертификаты, выданные этим удостоверяющим центром. Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом.

Инфраструктура управления открытыми ключами состоит из центра сертификации, конечных пользователей и опциональных компонентов: центра регистрации и сетевого справочника.

Основные функции удостоверяющего центра:

  • проверка личности будущих пользователей сертификатов;
  • выдача пользователям сертификатов;
  • аннулирование сертификатов;
  • ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.

Дополнительные функции удостоверяющего центра:

  • УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат.
  • По запросу, при разрешении конфликтов, УЦ может производить проверку подлинности электронной подписи владельца сертификата, выданного этим УЦ.

Сертификат — это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись центра выдачи сертификатов (УЦ), информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.

Причины досрочного аннулирования сертификатов:

  • компрометация закрытого ключа;
  • изменение информации о владельце сертификата, содержащейся в этом сертификате;
  • добровольное заявление владельца сертификата;
  • изменения полномочий текущего владельца сертификата.

Ключевая пара — это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).

Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации пользователя УЦ выдаёт ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим.

Открытый ключ известен всем, в то время закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в тайне и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ всё-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то, что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.

Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифрования данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.

Одним из ключевых понятий ИОК является электронная подпись. В рамках этой статьи понятия подпись, электронная подпись (ЭП), цифровая подпись и электронная цифровая подпись (ЭЦП) взаимозаменяемы. В Федеральном Законе РФ № 1 «Об электронно-цифровой подписи» от 2001 года, существовало только понятие электронно-цифровой подписи. Федеральный Закон РФ № 63 «Об электронной подписи» от 2011 года расширил понятие подписи. В соответствии со статьей 5 «Виды электронных подписей», различают простую электронную подпись и усиленную электронную подпись. В текущей статье и практически во всех литературных источниках об Инфраструктуре Открытых Ключей, как англоязычных, так и русскоязычных, под понятием подписи понимается усиленная электронная подпись.

Электронная подпись — это результат использования алгоритма электронной подписи на хеш данных (документа/сообщения/файла).

Подлинность электронной подписи проверяется следующим образом:

  1. Получатель получает данные (зашифрованные или в открытом виде) и электронную подпись.
  2. [Опциональный шаг, так как документ/сообщение/файл мог быть отправлен в открытом виде]. Данные расшифровываются с помощью либо заранее оговоренного симметричного ключа, либо с помощью закрытого ключа получателя (во втором случае данные были зашифрованы с помощью открытого ключа получателя, извлеченного из его сертификата).
  3. Получатель вычисляет хеш расшифрованного документа/сообщения/файла (алгоритм хеша указан в сертификате).
  4. Получатель применяет к электронной подписи алгоритм снятия подписи (алгоритм подписи указан в сертификате), в результате чего получает хеш исходного документа/сообщения/файла.
  5. Получатель сравнивает хеши. Если они одинаковы — электронная подпись считается действительной, при условии, что сертификат действителен и был применен в соответствии с его политиками.

В число приложений, поддерживающих PKI, входят: защищённая электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭП).

Краткое описание процесса работы с личными сертификатамиПравить

Для того чтобы получить сертификат, нужно обратиться в Удостоверяющий Центр.

Перед запросом на получение сертификата нужно удостовериться, что данный УЦ аккредитован в той сфере, где владелец сертификата будет его использовать. Для получения сертификата необходимо сгенерировать пару открытый-закрытый ключи; это производит либо пользователь, либо УЦ, в зависимости от политики Удостоверяющего Центра или договоренностей между клиентом и УЦ.

Для использования сертификатов (подписи или проверки подписи), пользователь должен установить на используемую Операционную систему криптографические средства, поддерживающие работу с данными сертификатами и алгоритмами электронной подписи.

После получения сертификата его нужно установить в свою систему. При использовании ОС семейства Windows, после установки сертификата ег

Что такое PKI? Немного информации по инфраструктуре открытых ключей (PKI)

Вы когда-нибудь задумывались, что такое Инфраструктура Открытых Ключей (PKI) и как она работает? Это только одна из наиболее важных систем, используемых сегодня для обеспечения аутентификации, целостности данных и конфиденциальности . ..

Мир криптографии полон идей, и одна из этих идей — инфраструктура открытых ключей (PKI). Но что такое PKI и что это влечет за собой для организаций и конфиденциальности данных? Короче говоря, это система процессов, политик, аутентификации и технологий, которые управляют шифрованием и, в конечном счете, защищают наши текстовые сообщения, электронные письма, пароли, информацию о кредитных картах и любую информацию, вплоть до фотографий.

PKI — это инфраструктура, которая стала неотъемлемой частью нашей повседневной жизни — и подавляющее большинство из нас даже не знают, что это такое! Что ж, это то, что огорчает всех нас здесь, в нашем Блоге, и именно поэтому мы пытаемся разложить сложные, занудные вещи в понятную форму.

Итак, что такое PKI? В этом посте я познакомлю вас с искусством и наукой, которая является инфраструктурой открытых ключей (PKI), и всем, что с этим связано.

Давайте разберемся с этим.

Проблема «ключа» в традиционном шифровании

Но, прежде чем мы перейдем к ответу на вопрос «что такое PKI?» и поговорим о том, как это работает, давайте сначала рассмотрим простой сценарий. Допустим, есть человек по имени Сергей, который хочет отправить конфиденциальную информацию Михаилу, его коллеге по работе. Он не может отправить эту информацию в виде открытого текста, так как недоброжелатели могут легко перехватить и прочитать или взломать ее. По идее Сергею нужно для этого будет зашифровать передаваемую информацию.


Но тут возникает проблема. Если Сергей шифрует сообщение, используя ключ (некоторую логику), то как Михаил расшифрует его? Он должен иметь с собой ключ, верно? Чтобы дать ключ Михаилу, нет другого варианта, кроме как встретиться с ним лицом к лицу, что совершенно нецелесообразно в наше время или отправить его через курьера и рискнуть, так как его могут перехватить.

Такой метод шифрования проблематичен не только в физическом мире, но и в виртуальном мире. Каждый раз, когда два компьютера хотят общаться безопасно, им приходится согласовывать один ключ шифрования при каждом взаимодействии. Это математический процесс и требует времени. И если есть сервер (например, банк), который обменивается данными с несколькими пользователями, то серверу придется выполнять вычислительный процесс для каждой клиентской транзакции, и это еще больше замедлит его. Все эти вещи включают в себя множество сложных процессов и соглашений, которые должны обрабатываться на микро скоростях.

И вот, где приходит на помощь PKI.

Как инфраструктура PKI меняет все

В дополнение к обычному шифрованию (также известному как симметричное шифрование), в котором один и тот же ключ используется для шифрования и дешифрования, PKI также включает использование пары ключей — открытого ключа и закрытого (приватного) ключа — в процессе, который известен под интуитивно известным названием «шифрование с открытым ключом». Один из этих ключей шифрует информацию, а другой расшифровывает ее. Оба эти ключа различны, но они математически связаны друг с другом. Это означает, что информация, зашифрованная одним ключом, может быть расшифрована только с помощью ключа, связанного с ним. Открытый ключ, как следует из названия, доступен публично. Закрытый ключ, с другой стороны, остается приватным.

Таким образом, если Сергей и Михаил используют инфраструктуру открытого ключа вместо симметричного метода шифрования, Сергей может зашифровать секретное сообщение, используя открытый ключ Михаила, который у него есть. Михаил со своим закрытым ключом является единственным человеком, который может расшифровать сообщение. Таким образом, они могут безопасно общаться, не позволяя недоброжелателям (мошенникам) читать/вмешиваться в эту информацию. Не только это, но Михаил может быть уверен в том, что сообщение пришло именно от Сергея, а не от кого-то другого.

Довольно круто, не правда ли?

Популярные области, в которых применяется PKI

Отвечая на вопрос «что такое PKI?» вам нужно поговорить не только о том, что оно составляет, но и о том, как и где оно используется. Существует несколько способов, которыми предприятия и организации по всему миру используют инфраструктуру открытых ключей:
Безопасность сайта (HTTPS/SSL)

Наиболее популярное использование PKI заключается в обеспечении безопасной, зашифрованной связи между веб-браузерами (клиентами) и веб-серверами (веб-сайтами). Это делается с помощью протокола HTTPS, который реализуется путем установки SSL-сертификата на веб-сервере.

Сертификат SSL работает, как удостоверение личности веб-сайта, через которое браузеры могут проверить, что они общаются с нужным веб-сайтом. Приобретая сертификат SSL, вы получаете открытый и закрытый ключи. Закрытый (приватный) ключ хранится на веб-сервере, и сервер использует его для подтверждения своей легитимности.


Благодаря использованию PKI, SSL-сертификат:

  • защищает целостность сообщения,
  • защищает информацию от атак «man-in-the-middle» и
  • аутентифицирует связь обоих сторон (браузер и сервер).

Такой трехсторонний подход к безопасности жизненно важен, когда вы отправляете важную информацию, такую как пароли, данные кредитной карты, личные сообщения и т. д. Поэтому было бы не преувеличением назвать PKI «основой веб-безопасности».

Протокол защищенной оболочки (SSH)

Secure Shell (SSH) — это криптографический сетевой протокол, который обеспечивает безопасные сетевые сервисы между хостами и пользователями по незащищенной сети. Он используется для облегчения безопасного удаленного входа с одного компьютера на другой. В основе SSH также лежит инфраструктура открытых ключей (PKI).

Безопасность электронной почты (протокол S/MIME)

Другое важное использование PKI делается для шифрования и цифровой подписи email сообщений. Это делается с помощью интернет протокола, известного как S/MIME, или так называемого безопасного/многоцелевого расширения электронной почты. Эти сертификаты известны, как сертификаты S/MIME.

Как и протокол SSL/TLS, здесь и PKI реализован с использованием сертификата, но способ, которым они это делают, отличается. Вместо шифрования безопасного канала связи, это сквозное шифрование шифрует само сообщение.

Это означает, что сертификаты S/MIME не только шифруют электронные письма, но и снабжают их цифровой подписью для аутентификации личности отправителя и целостности самого сообщения.

Безопасный обмен сообщениями

Будь то WhatsApp, iMessage, Facebook Messenger или другие подобные службы обмена сообщениями, мы все используем службы связи или приложения. Многие из этих сервисов зашифрованы с использованием PKI и защищают от попыток перехвата данных или взлома. В частности, сквозное шифрование — это то, с чем многие правительства хотели бы покончить, хотя такие компании, как Apple, Microsoft и Facebook твердо придерживаются своих планов по его внедрению.

Подписание документов

Как и физические подписи для аутентификации физических документов, необходимо подписывать документы в цифровом виде. С одной стороны, это помогает получателю убедиться, что сообщение приходит от проверенного объекта; это также позволяет им гарантировать, что это не было подделано. Это также делается PKI с использованием сертификатов подписи документов.

Код / Подписание приложения

Миллионы пользователей загружают миллионы приложений на компьютеры и мобильные устройства каждый день. Компании-разработчики или частные лица создают эти программы. Но какова гарантия того, что устанавливаемое вами программное обеспечение принадлежит компании или индивидуальному разработчику, от которого вы думаете, что оно? Не может ли кто-нибудь просто изменить имя файла и замаскировать вредоносное программное обеспечение, как доверенное программное обеспечение? Да. И это очень реальная проблема для всех. Ну, вот где приходят сертификаты подписи кода.


Сертификат подписи кода удостоверяет личность разработчика или издателя и целостность исполняемого файла. Это позволяет браузерам проверять, что само программное обеспечение не было изменено каким-либо образом с использованием шифрования с открытым ключом. Это делается путем применения цифровой подписи и одностороннего хеширования.

PKI 101: Сертификаты, Ключи и Центры сертификации

Многие люди спрашивают нас: «Что такое PKI?» Что ж, ответ довольно прост: это система, которая используется для целей шифрования и аутентификации, и это не столько конкретный продукт/программное обеспечение. Следовательно, для реализации шифрования требуется некоторая материальная база. Это проявляется в виде различных технологий (аппаратного и программного обеспечения), объектов (таких как Центры Сертификации, о которых мы поговорим позже), процессов, политик и процедур. Эта система облегчает и управляет шифрованием и всем, что делает это возможным — начиная от основ открытых ключей и цифровых сертификатов и заканчивая управлением ими и пониманием Центров Сертификации, которые их выпускают и аннулируют.

Следовательно, можно сказать, что инфраструктура открытых ключей состоит из трех основных элементов: Пар ключей, Цифровых сертификатов X.509 и Органов выдачи сертификатов.

Теперь, когда мы понимаем пару ключей, давайте разберемся с двумя другими важными компонентами PKI — Цифровыми сертификатами и Центрами сертификации (CA).

Цифровые сертификаты

Цифровой сертификат — это набор файлов, с помощью которых мы можем реализовать различные приложения безопасности инфраструктуры открытого ключа (PKI). Проще говоря, это документ, удостоверяющий личность его владельца. Он состоит из информации о ключе, информации о личности его владельца и цифровой подписи Центра сертификации. Существует несколько различных типов цифровых сертификатов, которые (вы можете заметить, соответствуют популярному использованию PKI, которое мы рассмотрели выше). Вот некоторые из типов цифровых сертификатов X.509, которые вы можете найти в инфраструктуре PKI:

Центры сертификации

Давайте разберемся с простым сценарием. Если Сергей хочет отправить Михаилу зашифрованное сообщение, он может получить его цифровой сертификат, зашифровать информацию с помощью открытого ключа и отправить ему защищенное сообщение. Но тут возникает потенциальная проблема: как Сергей может быть уверен, что именно Михаил владеет сертификатом и открытым ключом, который он использовал? Что если он на самом деле отправит сообщение мошеннику, который просто утверждает, что он Михаил?

Здесь на помощь приходят Доверенные Центры Сертификации (CA)

Центры сертификации — это доверенные сторонние организации, которые выпускают цифровые сертификаты и управляют ими. Они являются наиболее важным элементом в PKI, поскольку миллионы пользователей — сознательно или неосознанно — будут полагаться на них.

Перед выдачей цифрового сертификата ЦС должен провести процесс проверки, чтобы удостовериться, что он выдает сертификат законному субъекту. Даже небольшая ошибка в процессе проверки может привести к ошибочной выдаче и вызвать катастрофу не только с точки зрения ущерба, но и с точки зрения общего доверия к системе, которой является PKI. Таким образом, чтобы быть доверенным центром сертификации, вы должны соответствовать очень строгим критериям, сформированным независимой группой браузеров, операционных систем и мобильных устройств, известной, как CA/Browser Forum (или CA/B Forum для краткости). Кроме того, вам нужна инфраструктура на несколько миллионов долларов, которая включает в себя значительные операционные элементы, аппаратные средства, программное обеспечение, структуры политик, практические заявления, аудит, инфраструктуру безопасности и персонал.

Преимущества инфраструктуры открытых ключей (PKI)

Учитывая все это, существует множество преимуществ использования шифрования с открытым ключом, как части вашей инфраструктуры открытого ключа. Кто они такие? О, мы очень рады, что вы спросили . ..

Аутентификация

В эпоху, когда мошенники пробуют все хитрости, чтобы обмануть пользователей, аутентификация/проверка подлинности становятся необходимостью. Когда вы передаете информацию через веб-сайт, электронную почту или текстовые сообщения, обязательно убедитесь, что вы общаетесь с предполагаемой организацией/личностью. Благодаря процессу проверки, проводимому Центром сертификации и использованию закрытого и открытого ключа, PKI обеспечивает беспрецедентную бесперебойную аутентификацию.

Конфиденциальность

Одним из важных элементов безопасности, когда дело доходит до онлайн-общения, является конфиденциальность. В конце концов, никто не хочет раскрывать свои пароли, информацию о кредитной карте или личную информацию. Зашифровывая данные между отправителем и получателем, PKI обеспечивает безопасность исходных данных, чтобы только предполагаемый получатель мог видеть данные в их первоначальном формате.

Целостность данных

Когда вы отправляете конфиденциальную информацию онлайн, обеим сторонам необходимо, чтобы получатель получал данные в неизмененном виде. С помощью метода, называемого «хэширование», PKI позволяет получателю проверить, остались ли сообщение/документ/данные в той же форме или нет.

Неотрекаемость

PKI предоставляет механизм цифровой подписи онлайн-транзакций (файлов, электронных писем, документов и т. д.), Способ физического подписания документов и прочего. Таким образом, это служит доказательством того, что лицо, подписавшее его, является источником данных. И, следовательно, это также делает невозможным для отправителя отрицать, что он/она был тем, кто подписал и отправил его. Это называется «неотрекаемость».

Недостатки инфраструктуры открытых ключей

Хотя существует много преимуществ инфраструктуры открытых ключей и предоставляемого шифрования, мы признаем, что она не идеальна. Также есть некоторые специфические недостатки, на которые стоит обратить внимание:

Скорость

PKI — это чрезвычайно безопасный процесс, который обеспечивает то, что должен. Большая часть кредита идет на пару ключей и сверхсложные математические алгоритмы. Однако эта сложность приводит к дополнительным вычислительным затратам при шифровании данных в больших объемах. В результате это замедляет процесс передачи данных до минимальной степени, порядка 5 миллисекунд (мс), чтобы быть точным. С точки зрения использования процессора, разница между зашифрованными и незашифрованными соединениями составляет 2%. Хотя это различие довольно мало, вы можете рассмотреть возможность перехода на HTTP/2 для ускорения процесса передачи данных.

Компромисс закрытого ключа

Математика, стоящая за PKI, должна быть настолько сильной, что даже суперкомпьютеры (не говоря уже о хакерах) не смогут взломать ее в течение практического времени. Однако вся безопасность PKI не зависит от непобедимой математики; это также зависит от безопасности закрытого ключа, так как он может расшифровать данные, зашифрованные открытым ключом.

Поэтому, если закрытый ключ скомпрометирован, злоумышленнику не нужно взламывать сверхсложные математические алгоритмы. Они могут расшифровывать данные (как прошлого, так и будущего) с помощью закрытого ключа, а также могут имитировать сервер, чтобы обмануть клиентов. Это может привести к взлому корпоративной секретной информации, паролей, финансовой информации и т.д. Другими словами, это может привести к беспрецедентным бедствиям. Это серьезная причина для беспокойства при использовании PKI.

Опора на Центры сертификации

PKI это не технология, это система. И, как и любая другая система, она имеет компоненты. Одним из ключевых компонентов PKI являются Центры сертификации, которые выдают сертификаты. Как мы видели ранее, ЦС должны проводить процесс проверки и подписывать цифровые сертификаты, чтобы удостовериться, что сертификаты выдаются только законным людям/организациям. Но если по какой-то причине ЦС будет скомпрометирован, то это может стать причиной нарушения безопасности для миллионов людей и организаций во всем мире.

Как PKI работает в SSL/TLS

В мире более 4,5 миллиардов интернет-пользователей, и все они используют PKI через SSL/TLS, даже если они не знают об этом. Поскольку вы читаете это предложение прямо сейчас, ваш браузер и наш сервер передают данные посредством процесса шифрования PKI, известного как «рукопожатие SSL/TLS». Давайте рассмотрим этот процесс немного подробнее:

1. Во-первых, когда клиент (браузер) посещает веб-сервер по запросу пользователя, клиент отправляет серверу свои поддерживаемые комплекты шифров и совместимую версию SSL/TLS, чтобы инициировать соединение. Это рассматривается, как сообщение «привет клиенту».

2. В свою очередь, веб-сервер проверяет комплекты шифров вместе с версией SSL/TLS и отправляет свой открытый сертификат клиенту вместе с сообщением «сервер привет».

3. Получив файл сертификата, клиент (браузер) аутентифицирует его. Если сертификат признан действительным, браузер инициирует процесс проверки секретного ключа, зашифровав «секретный ключ» открытым ключом сертификата SSL/TLS.

4. В свою очередь, веб-сервер дешифрует секретный ключ своим закрытым ключом.

5. Теперь и клиент, и сервер генерируют сеансовые ключи из случайного клиента, случайного сервера. Этот ключ сеанса, сгенерированный обоими, должен быть одинаковым.

6. Клиент отправляет «готовое» сообщение, зашифрованное с помощью ключа сеанса.

7. Сервер отправляет «готовое» сообщение, зашифрованное с помощью ключа сеанса.

После того как все вышеперечисленные шаги выполнены и процесс установления связи SSL/TLS завершен, между клиентом и браузером устанавливается безопасное соединение.

(Примечание. Вышеупомянутый процесс рукопожатия относится к TLS версии 1.2. Хотя этот процесс довольно сложный, мы упростили его здесь для лучшего понимания. Ознакомьтесь с этим постом для более подробного изучения процесса SSL / TLS. Это также важно отметить, что TLS 1.3 также используется, но TLS 1.2 используется чаще на момент написания этой статьи.)

Последнее слово

Мы думаем, что полностью ответили на ваш вопрос «что такое PKI?» Как вы теперь знаете, инфраструктура открытых ключей — это каменная стена, которая защищает киберпреступников от наших электронных писем, паролей, финансовых данных, личных сообщений и т. д. Это то, что формирует основу сегодняшней веб-безопасности — и невозможно представить мир без это, учитывая, что PKI защищает нас от многих фронтов.

Является ли PKI неразрушимым? Нет, у него есть возможности для улучшения; и именно поэтому время от времени мы видим изменения в экосистеме PKI. Ведущие мировые Центры сертификации активно действуют и всегда ищут способы улучшить нашу безопасность. Можно с уверенностью сказать, что мы в лучших руках.

НОУ ИНТУИТ | Лекция | Основные компоненты и сервисы PKI

Аннотация: Рассматриваются основные компоненты PKI, описываются функции удостоверяющего и регистрационного центров, репозитория, архива сертификатов, серверных компонентов PKI, приводится краткая характеристика сервисов PKI и сервисов, базирующихся на PKI, обсуждаются криптографические и вспомогательные сервисы, сервисы управления сертификатами.

Основные компоненты PKI

Нельзя утверждать, что PKI сама по себе является инфраструктурой безопасности, но она может быть основой всеобъемлющей инфраструктуры безопасности. Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой реализуются и предоставляются с использованием технологии открытых ключей. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами эффективной PKI являются:

  • удостоверяющий центр ;
  • регистрационный центр ;
  • репозиторий сертификатов;
  • архив сертификатов ;
  • конечные субъекты (пользователи).

Взаимодействие компонентов PKI иллюстрирует рис. 3.1. В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей. Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом [9].

Удостоверяющий центр

Фундаментальная предпосылка криптографии с открытыми ключами заключалась в том, что два незнакомых субъекта должны иметь возможность безопасно связываться друг с другом. Например, если пользователь А желает отправить конфиденциальное сообщение пользователю В, с которым он ранее не встречался, то для шифрования сообщения он должен иметь возможность связать каким-либо образом пользователя В и его открытый ключ. Для сообщества потенциальных пользователей, объединяющего сотни тысяч или миллионов субъектов, наиболее практичным способом связывания открытых ключей и их владельцев является организация доверенных центров. Этим центрам большая часть сообщества или, возможно, все сообщество доверяет выполнение функций связывания ключей и идентификационных данных (идентичности) пользователей.

Такие доверенные центры в терминологии PKI называются удостоверяющими (УЦ) ; они сертифицируют связывание пары ключей с идентичностью, заверяя цифровой подписью структуру данных, которая содержит некоторое представление идентичности и соответствующего открытого ключа. Эта структура данных называется сертификатом открытого ключа (или просто сертификатом) и более детально обсуждается в «Сертификаты открытых ключей» . По сути сертификат представляет собой некое зарегистрированное удостоверение, которое хранится в цифровом формате и признается сообществом пользователей PKI законным и надежным. Для заверения электронного сертификата используется электронная цифровая подпись УЦ — в этом смысле удостоверяющий центр уподобляется нотариальной конторе, так как подтверждает подлинность сторон, участвующих в обмене электронными сообщениями или документами.

Хотя УЦ не всегда входит в состав PKI (особенно небольших инфраструктур или тех, которые оперируют в закрытых средах, где пользователи могут сами эффективно выполнять функции управления сертификатами), он является критически важным компонентом многих крупномасштабных PKI. Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для установления связи с секретным ключом. Без такой дополнительной защиты злоумышленник может выдавать себя как за отправителя подписанных данных, так и за получателя зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости проверки подлинности, то есть верификации открытого ключа [213].

Удостоверяющий центр объединяет людей, процессы, программные и аппаратные средства, вовлеченные в безопасное связывание имен пользователей и их открытых ключей. Удостоверяющий центр известен субъектам PKI по двум атрибутам: названию и открытому ключу. УЦ включает свое имя в каждый выпущенный им сертификат и в список аннулированных сертификатов (САС) и подписывает их при помощи собственного секретного ключа. Пользователи могут легко идентифицировать сертификаты по имени УЦ и убедиться в их подлинности, используя его открытый ключ.


Рис. 3.1. Основные компоненты PKI

Удостоверяющий центр — главный управляющий компонент PKI — выполняет следующие основные функции:

  • формирует собственный секретный ключ; если является головным УЦ, то издает и подписывает свой сертификат, называемый самоизданным или самоподписанным ;
  • выпускает (то есть создает и подписывает) сертификаты открытых ключей подчиненных удостоверяющих центров и конечных субъектов PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;
  • публикует информацию о статусе сертификатов и списков аннулированных сертификатов.

При необходимости УЦ может делегировать некоторые функции другим компонентам PKI. Выпуская сертификат открытого ключа, УЦ тем самым подтверждает, что лицо, указанное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу. Включая в сертификат дополнительную информацию, УЦ подтверждает ее принадлежность этому субъекту. Дополнительная информация может быть контактной (например, адрес электронной почты) или содержать сведения о типах приложений, которые могут работать с данным сертификатом. Когда субъектом сертификата является другой УЦ, издатель подтверждает надежность выпущенных этим центром сертификатов.

Действия УЦ ограничены политикой применения сертификатов (ППС), которая определяет назначение и содержание сертификатов. УЦ выполняет адекватную защиту своего секретного ключа и открыто публикует свою политику, чтобы пользователи могли ознакомиться с назначением и правилами использования сертификатов. Ознакомившись с политикой применения сертификатов и решив, что доверяют УЦ и его деловым операциям, пользователи могут полагаться на сертификаты, выпущенные этим центром. Таким образом, в PKI удостоверяющие центры выступают как доверенная третья сторона.

Инфраструктуры открытых ключей (PKI). Введение в криптографию

Инфраструктуры открытых ключей (PKI)

PKI, как и простой сервер-депозитарий, имеет базу данных для хранения сертификатов, но, в то же время, предоставляет сервисы и протоколы по управлению открытыми ключами. В них входят возможности выпуска (издания), отзыва (аннулирования) и системы доверия сертификатов. Главной же особенностью PKI является наличие компонентов, известных как Центр сертификации(Certification Authority, CA) и Центр регистрации (Registration Authority, RA).

Центр сертификации (ЦС) издаёт цифровые сертификаты и подписывает их своим закрытым ключом. Из-за важности своей роли, ЦС является главным компонентом инфраструктуры PKI. Используя открытый ключ ЦС, любой пользователь, желающий проверить подлинность конкретного сертификата, сверяет подпись Центра сертификации и, следовательно, удостоверяется в целостности содержащейся в сертификате информации и, что более важно, во взаимосвязности сведений сертификата и открытого ключа.

Как правило, Центром регистрации (ЦР) называется система людей, механизмов и процессов, служащая целям зачисления новых пользователей в структуру PKI и дальнейшего администрирования постоянных пользователей системы. Также ЦР может производить «веттинг» — процедуру проверки того, принадлежит ли конкретный открытый ключ предполагаемому владельцу.

ЦР — это человеческое сообщество: лицо, группа, департамент, компания или иная ассоциация. С другой стороны, ЦС — обычно, программа, выдающая сертификаты своим зарегистрированным пользователям. Существуют и защищённые от взлома аппаратные реализации ЦС, сооружённые из пуленепробиваемых материалов и снабжённые «красной кнопкой», аннулирующей в критической ситуации все выданные ключи.

Роль ЦР-ЦС аналогична той, что выполняет государственный паспортный отдел: одни его сотрудники проверяют, требуется ли выдача паспорта (работа ЦР), а другие изготовляют сам документ и передают его владельцу (работа ЦС). Наличие ЦР для ЦС не обязательно, но оно обеспечивает разделение функций, которое иногда необходимо.

КриптоПро | Что такое PKI

Публикация: 07 Июль 2005 — 15:41, редакция: 21.07.2011 13:36

PKI

Инфраструктура управления открытыми ключами (PKI — public key infrustructure) — это современная система управления криптографической защитой, в том числе и в агрессивной среде, например Интернет. Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭЦП).

Используя криптопровайдер КриптоПро CSP пользователи ОС MS Windows могут воспользоваться стандартными программными средствами фирмы Microsoft для реализации и использования решений, основанных на Инфраструктуре Открытых Ключей. К этим средствам относятся:

Обучение

Учебный центр Информзащита предлагает следующие курсы, связанные с PKI :

[КП06] Использование ЭЦП и PKI. Юридические, теоретические и практические основы использования электронной цифровой подписи и инфраструктуры открытых ключей в прикладных системах организации.

[КП03] Теория и Практика применения PKI. Теоретические основы, стандарты и варианты практических подходов к построению инфраструктуры открытых ключей.

Построение PKI на основе продуктов Microsoft с использованием сертифицированного криптопровайдера КриптоПро CSP.

 

Академия АйТи предлагает следующие курсы, связанные с PKI:

Программа учебного курса [PKI-001] Применение инфраструктуры открытых ключей и ЭЦП ориентирована на администраторов безопасности, эксплуатирующих программные продукты средство криптографической защиты информации «КриптоПро CSP» и приложение «КриптоАРМ».

Рассматриваются вопросы внутренней структуры продуктов, процессы их инсталляции, эксплуатации и администрирования. Анализируются Российское законодательство, относящееся к использованию PKI, процедуры подготовки операционной системы (ОС) для установки и эксплуатации решений.

ИОК (PKI) – инфраструктура открытых ключей — Студопедия. Нет

Сегодня имеет смысл говорить уже не просто о удостоверяющем центре, а о целой комплексной структуре – PKI (ИОК– инфраструктура открытых ключей).

PKI – это комплексная система, обеспечивающая все необходимые сервисы для использования технологии с открытыми ключами. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде с открытыми ключами.

Эффективная PKI должна включать следующие компоненты:

· центр сертификации;

· центр регистрации;

· архив сертификатов;

· систему аннулирования сертификатов;

· систему создания резервных копий и восстановления ключей;

· систему поддержки невозможности отказа от цифровых подписей;

· систему автоматической корректировки пар ключей и сертификатов;

· систему управления «историей» ключей;

· систему поддержки взаимной сертификации;

· конечных пользователей и клиентское программное обеспечение, взаимодействующее со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий Центр – основная управляющая компонента PKI, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, УС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.

К основным функция ЦС относятся:

· формирование собственного секретного ключа и сертификата ЦС;

· формирование сертификатов подчиненных Центров;

· формирование сертификатов открытых ключей конечных пользователей;

· формирование списка отозванных сертификатов;

· ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.

Центр Регистрации – опциональная компонента PKI, предназначенная для регистрации конечных пользователей. Основная задача ЦР – регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.

Пользователи – Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие PKI.

Сертификация в инфраструктуре с открытыми ключами строится по двум основным типам архитектуры (рисунок 11.2): иерархической (сверху вниз) и взаимной сертификации (разделенное доверие). В иерархической модели в сертификации участвуют следующие субъекты.

Рисунок 11.2. Архитектура сертификации.

Организация систем электронного документооборота

Поскольку ЭЦП и инфраструктура открытых ключей позволяет сделать электронный документ юридически значимым, появляется возможность перехода государственных учреждений на АСДОУ нового поколения, снабженные средствами электронной цифровой подписи (ЭЦП). Это позволяет придавать той электронной версии, которая создается в АСДОУ интегрированными офисными приложениями (такими как Microsoft Word или Excel), статус полноценного электронного документа. Правовую основу для такого перехода создал Закон Республики Беларусь «Об электронном документе», введенный в действие с января 2000 г. Он придает таким документам равную юридическую силу с бумажными при условии наличия ЭЦП, средства создания которой прошли национальную сертификацию. В 1999 году разработаны и приняты национальные стандарты Республики Беларусь для защиты электронных документов (СТБ 1176.1–99 «Информационная технология. Защита информации. Функция хеширования», СТБ 1176.2–99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи»). Наиболее общие требования по организации работы с электронными документами изложены в стандарте «Документы электронные. Правила выполнения, обращения и хранения»
(СТБ 1221–2000), который вступил в силу с 1 сентября 2000 г.

В Республике Беларусь реальный процесс перехода на электронные документы начался после создания системы сертификации средств ЭЦП. Органом по сертификации средств защиты информации, аккредитованным Госстандартом Республики Беларусь в 1997 г. , является Государственный центр безопасности информации при Президенте Республики Беларусь (ГЦБИ). В настоящее время создана и аккредитована испытательная лаборатория в Национальном научно-исследовательском центре прикладных проблем математики и информатики при БГУ. С 2003 г. в Национальной системе сертификации Республики Беларусь были выданы 12 сертификатов на средства ЭЦП отечественного производства. Среди них решения, разработанные ЗАО «НТЦ Контакт», ООО «Энигма». Уже несколько лет такие средства реально используются в сфере межбанковских расчетов.

Многие органы государственного управления технически и организационно готовы к внедрению таких систем либо уже имеют системы, в которых интеграция средств ЭЦП может быть реализована в ближайшее время.

Инфраструктура открытого ключа

— приложения Win32

  • Создайте кошелек с включенным автоматическим входом.

    Например:

     orapki wallet create -wallet / private / user / orapki_use / server -auto_login
     

    Это создает кошелек по адресу / private / user / orapki_use / server с включенным автоматическим входом.

  • Добавить запрос сертификата в кошелек.

     orapki добавление кошелька -wallet / private / user / orapki_use / server / ewallet.p12 -dn 'CN = server_test, C = US' -keysize 2048
     

    Это добавляет запрос сертификата к созданному кошельку ( ewallet.p12 ). Отличительное имя субъекта — CN = server_test, C = US . Указанный размер ключа составляет 2048 бит.

  • Экспортируйте запрос сертификата в файл.

     экспорт кошелька orapki -wallet / private / user / orapki_use / server -dn 'CN = server_test, C = US' -request / private / user / orapki_use / server / creq.текст
     

    Это экспортирует запрос сертификата в указанный файл, которым в данном случае является creq.txt .

  • Создайте подписанный сертификат из запроса в тестовых целях.

     orapki cert create -wallet / private / user / orapki_use / root -request /private/user/orapki_use/server/creq.txt -cert /private/user/orapki_use/server/cert.txt -validity 3650
     

    Это создает сертификат cert.txt со сроком действия 3650 дней. Сертификат создается из запроса сертификата, созданного на предыдущем шаге.

  • Посмотреть сертификат.

     orapki cert display -cert /private/user/orapki_use/server/cert.txt -complete
     

    Здесь отображается сертификат, созданный на предыдущем шаге. Параметр -complete позволяет отображать дополнительную информацию о сертификате, включая серийный номер и открытый ключ.

  • Добавить доверенный сертификат в кошелек.

     orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -trusted_cert -cert /private/user/orapki_use/root/b64certificate.txt
     

    Добавляет доверенный сертификат b64certificate.txt в кошелек ewallet.p12 . Перед добавлением сертификата пользователя необходимо добавить все доверенные сертификаты в цепочку сертификатов пользовательского сертификата.

  • Добавить сертификат пользователя в кошелек.

     orapki wallet add -wallet /private/user/orapki_use/server/ewallet.p12 -user_cert -cert /private/user/orapki_use/server/cert.txt
     

    Эта команда добавляет сертификат пользователя cert.txt в кошелек ewallet.p12 .

  • Руководство по настройке инфраструктуры открытого ключа

    , Cisco IOS версии 15MT — Обзор PKI Cisco IOS Понимание и планирование PKI [Поддержка]

    PKI состоит из следующих объектов:

    • Пиры, обменивающиеся данными в защищенной сети

    • Как минимум один центр сертификации (ЦС), который предоставляет и поддерживает сертификаты.

    • Цифровые сертификаты, которые содержат такую ​​информацию, как срок действия сертификата, идентификационную информацию однорангового узла, шифрование. ключи, которые используются для защищенной связи, и подпись выдающего ЦС

    • Необязательный орган регистрации (RA) для разгрузки CA путем обработки запросов на регистрацию

    • Механизм распространения (например, Lightweight Directory Access Protocol [LDAP] или HTTP) для списков отзыва сертификатов. (CRL)

    PKI предоставляет клиентам масштабируемый и безопасный механизм для распределения, управления и отмены шифрования и идентификации информация в защищенной сети передачи данных.Каждый объект (человек или устройство), участвующий в защищенном обмене данными, зарегистрирован в PKI в процессе, в котором объект генерирует пару ключей Ривеста, Шамира и Адельмана (RSA) (один закрытый ключ и один открытый ключ) и их личность подтверждена доверенным лицом (также известным как CA или точка доверия).

    После того, как каждый объект регистрируется в PKI, каждому одноранговому узлу (также известному как конечный хост) в PKI предоставляется цифровой сертификат, который был выдан ЦС. Когда одноранговые узлы должны согласовать защищенный сеанс связи, они обмениваются цифровыми сертификатами. На основе на основе информации в сертификате одноранговый узел может подтвердить личность другого однорангового узла и установить зашифрованный сеанс с открытыми ключами, содержащимися в сертификате.

    Несмотря на то, что вы можете планировать и настраивать PKI различными способами, на рисунке ниже показаны основные компоненты. которые составляют PKI и предлагают порядок, в котором может быть принято каждое решение в PKI.Рисунок является предлагаемым подходом; вы можете настроить PKI с другой точки зрения.

    Рисунок 1. Решение о том, как настроить PKI

    PKI — Секреты двигателей | Vault by HashiCorp

  • Обзор продуктовОткрыть это меню
  • Инфраструктура
    • terraform
    • packer
    • vagrant
  • Networking
    • consul
  • Приложения
    • nomad
    • waypointNew
  • Облачная платформа HashiCorp
    • consulPublic Beta
    • terraform
    • vaultPrivate Beta
  • Консультационная служба Hashi
  • О HashiCorp
    • Обзор
    • Сценарии использования
      • Управление секретами
      • Шифрование данных
      • Доступ на основе идентификационных данных
    • Enterprise
    • Учебники
    • Commun
    • Docs
    • ity
    GitHub — Меню загрузки документации

      ×

    • Установка Vault
    • Внутренние компоненты
      • Обзор
      • Архитектура
      • Высокая доступность
      • Интегрированное хранилище
      • Модель безопасности
      • Телеметрия
      • Ротация ключа
      • Токен
      • Ротация токена
      • Плагины
      • Ограничения и максимумы
    • Концепции
      • Обзор
      • Сервер разработки
      • Запечатать / распечатать
      • Аренда, продление и отзыв
      • Ответ на аутентификацию
        • 0
        • Токены Политики паролей
        • Высокая доступность
        • Интегрированное хранилище
        • PGP, GPG и Keybase
        • Режим восстановления
        • Квоты ресурсов
        • Число клиентов
        • Преобразование
      • Конфигурация
        • Обзор слушателя
          • Обзор
          • TCP
        • seal
          • Обзор
          • AliCloud KMS
          • AWS KMS
          • Azure Key Vault
          • GCP Cloud KMS
          • OCI 9179
          • TransCault
        • хранилище
          • Обзор
          • Azure
          • Cassandra
          • CockroachDB
          • Consul
          • CouchDB
          • DynamoDB
          • Etcd
          • Google Cloud Storage
          • 906 9456 9956
          • 6
          • Cloudner Foundation
          • Google Cloudner 9956 Память
          • Manta
          • MSSQL
          • MySQL
          • Хранилище объектов OCI
          • PostgreSQL
          • Интегрированное хранилище (Raft)
          • S3
          • Swift
          • Zookeeper
          • 30006

          • Zookeeper
          • 3 отправлено 9 0985 Consul

          • Kubernetes
        • телеметрия
        • ui
        • Entropy Augmentation ENT
      • 67 Команды (CLI)
      • 67 Обзор
      • 3
      • 6
      • 6
      • 6
      • отключить
      • включить
      • список
    • auth
      • Обзор
      • отключить
      • включить
      • help список 9106
    • отладка
    • удалить
    • kv
      • Обзор
      • удалить
      • уничтожить
      • включить 4 4 9363 м etadata
      • patch
      • put
      • rollback
      • undelete
    • lease
      • Обзор
      • 936000 обновить список
      • логин
      • монитор
      • пространство имен
      • оператор
        • Обзор
        • generate-root
        • init
        • 364 статус
        • 3 init
        • 3 ключ
        • rekey
        • rotate
        • уплотнение
        • step down
        • unseal
      • path-help

        64
      • path-help

        64 9121 3 информация
      • список
      • регистр
      • перезагрузить
    • политика
      • Обзор
      • удалить
      • удалить
      • 903
      • запись
    • чтение
    • секреты
      • Обзор
      • отключить
      • включить
      • список
      • 00
      • 9036
      • ssh
      • статус
      • токен
        • Обзор
        • возможности
        • создать
        • 00 поиск

        • 00

        • обновить
        • 00 развертывание

        • версия
        • запись
        • Помощники по токенам
      • Агент хранилища
        • Обзор
        • Авто-аутентификация
          • Обзор
          • Методы
          • Ali
          • Azure
          • Cert
          • CF
          • GCP
          • JWT
          • Kerberos
          • Kubernetes
        • Sinks
          • Обзор
          • Файл
      • Шаблоны
      • Active Directory
      • AliCloud
      • AWS
      • Azure
      • Consul
      • Cubbyhole
      • Базы данных
        • Обзор
        • Cassandra
        • Couchbase
        • B
        • Couchbase Mongbase MongoDB
        • 2 9146D
        • Elastic Atlas
        • MSSQL
        • MySQL / MariaDB
        • Oracle
        • PostgreSQL
        • Redshift
        • Custom
      • Google Cloud
      • Google Cloud KMS
      • Key Management ENTERPRISE ENTERPRISE ENTERPRISE ENTER
        • Обзор
        • K / V Версия 1
        • K / V Версия 2
      • Identity
      • MongoDB Atlas
      • Nomad
      • OpenLDAP
      • PKI (Certificates)
      • RabbitMQ
      • RabbitMQ Сертификаты
      • SSH OTP
      • Динамический ключ
    • TOTP
    • Transform ENTERPRISE
    • Transit
    • Venafi (Сертификаты)

Public Key Infrastructure
  • Домашняя страница
  • Основная навигация
  • Область содержимого
  • Карта сайта
  • Поиск

Treecrumb Bundesverwaltung

  • Der Bundesrat
    • Админ Der Bundesrat.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *