ИОК (PKI) – инфраструктура открытых ключей

Сегодня имеет смысл говорить уже не просто о удостоверяющем центре, а о целой комплексной структуре – PKI (ИОК– инфраструктура открытых ключей).

PKI– это комплексная система, обеспечивающая все необходимые сервисы для использования технологии с открытыми ключами. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде с открытыми ключами.

Эффективная PKI должна включать следующие компоненты:

· центр сертификации;

· центр регистрации;

· архив сертификатов;

· систему аннулирования сертификатов;

· систему создания резервных копий и восстановления ключей;

· систему поддержки невозможности отказа от цифровых подписей;

· систему автоматической корректировки пар ключей и сертификатов;

· систему управления «историей» ключей;

· систему поддержки взаимной сертификации;

· конечных пользователей и клиентское программное обеспечение, взаимодействующее со всеми этими подсистемами безопасным, согласованным и надежным способом.

Центр Сертификации (или Удостоверяющий Центр) – основная управляющая компонента PKI, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, ЦС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.

К основным функция ЦС относятся:

· формирование собственного секретного ключа и сертификата ЦС;

· формирование сертификатов подчиненных Центров;

· формирование сертификатов открытых ключей конечных пользователей;

· формирование списка отозванных сертификатов;

· ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.

Центр Регистрации – опциональная компонента PKI, предназначенная для регистрации конечных пользователей. Основная задача ЦР – регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.

Пользователи – Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие PKI.

Сертификация в инфраструктуре с открытыми ключами строится по двум основным типам архитектуры (см. рисунке 29): иерархической (сверху вниз) и взаимной сертификации (разделенное доверие). В иерархической модели в сертификации участвуют следующие субъекты.

Рисунок 11.2. Архитектура сертификации.