Распространение открытых ключей

В настоящее время существует две технологии распространения открытых асимметричных ключей между абонентами. Это технология PGP и технология PKI (ИОК).

Технология PGP

Технология PGP применяется в тех случаях, когда возможно полное доверие друг другу. Например, когда все потенциальные абоненты собираются вместе и напрямую обмениваются своими открытыми ключами. В этом случае, получая ключ, мы знаем, что он получен из рук владельца, и доверяем, что этот ключ истинный. Далее, обмен информацией происходит по выше описанным алгоритмам.

Технология PKI (ИОК)

В случае, когда абоненты находятся далеко друг от друга и не имеют возможности встретиться лично, технология PGP не работает, так как мы не можем доверять лицу, которого мы не видим.

Проблема распространения открытых ключей между удаленными абонентами выражается в том, что при использовании открытых каналов связи возможна организация атаки «Посредник». Злоумышленник может перехватить наш открытый ключ, отправленный абоненту, и подменить его своим открытым ключом. Абонент, получив ключ, будет считать его нашим, и использовать в конфиденциальной переписке и для проверки электронной цифровой подписи, а злоумышленник получит полный контроль над процессом обмена информацией между нами и нашим абонентом.

Для предотвращения подобной ситуации и была создана технология, которая получила название PKI (Public Key Infrastructure) – Инфраструктура Открытых Ключей (ИОК – в Российских руководящих документах).

В процессе обмена ключами по этой технологии участвуют три субъекта: два абонента, не доверяющие друг другу, и Удостоверяющий центр (УЦ), которому доверяют абоненты. УЦ является хранителем открытых ключей абонентов, и в случае необходимости выдаёт эти ключи совместно с сертификатом, подтверждающим их подлинность. Так как злоумышленник не может скрытно и быстро подменить сертификат, то абоненты доверяют, что полученные открытые ключи принадлежат конкретным лицам.

Как мы видим – цель технологии PKI состоит в управлении ключами и сертификатами, в результате чего любая организация может поддерживать надежную среду обмена информацией. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами PKI являются:

- удостоверяющий центр;

- регистрационный центр;

- репозиторий сертификатов;

- список отозванных сертификатов;

- архив сертификатов;

- конечные пользователи.

В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей. Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий центр

Удостоверяющий центр (УЦ) является основной структурой, формирующей цифровые сертификаты конечных пользователей. УЦ является главным управляющим компонентом PKI:

- он является доверенной третьей стороной;

- осуществляет управление сертификатами.

В случае необходимости, может быть выстроена иерархия УЦ. Т.е. основной УЦ делегирует свои полномочия и доверие подчиненному УЦ, например, в удаленном регионе. Уровней иерархии может быть несколько. Доверие ко всем подчиненным УЦ определяется уровнем доверия к основному УЦ.

Регистрационный центр

Регистрационный центр (РЦ) – необязательный компонент системы, предназначенный для регистрации пользователей. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один удостоверяющий центр может работать с несколькими регистрационными центрами, в этом случае он поддерживает список аккредитованных регистрационных центров, то есть тех, которые признаны надежными. Иногда, удостоверяющий центр сам выполняет функции регистрационного центра.

 

Репозиторий

Репозиторий – хранилище, содержащее действующие сертификаты и служащее для распространения их среди пользователей. В Законе РФ «Об электронной цифровой подписи» он называется Реестр сертификатов ключей подписей.

Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и списков отозванных сертификатов, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования:

- простота и стандартность доступа;

- регулярность обновления информации;

- встроенная защищенность;

- простота управления.

Репозиторий обычно размещается на сервере каталогов.