ИОК (PKI) – инфраструктура открытых ключей
Сегодня имеет смысл говорить уже не просто о удостоверяющем центре, а о целой комплексной структуре – PKI (ИОК– инфраструктура открытых ключей).
PKI– это комплексная система, обеспечивающая все необходимые сервисы для использования технологии с открытыми ключами. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде с открытыми ключами.
Эффективная PKI должна включать следующие компоненты:
· центр сертификации;
· центр регистрации;
· архив сертификатов;
· систему аннулирования сертификатов;
· систему создания резервных копий и восстановления ключей;
· систему поддержки невозможности отказа от цифровых подписей;
· систему автоматической корректировки пар ключей и сертификатов;
· систему управления «историей» ключей;
· систему поддержки взаимной сертификации;
· конечных пользователей и клиентское программное обеспечение, взаимодействующее со всеми этими подсистемами безопасным, согласованным и надежным способом.
Центр Сертификации (или Удостоверяющий Центр) – основная управляющая компонента PKI, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, ЦС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.
К основным функция ЦС относятся:
· формирование собственного секретного ключа и сертификата ЦС;
· формирование сертификатов подчиненных Центров;
· формирование сертификатов открытых ключей конечных пользователей;
· формирование списка отозванных сертификатов;
· ведение базы всех изготовленных сертификатов и списков отозванных сертификатов.
Центр Регистрации – опциональная компонента PKI, предназначенная для регистрации конечных пользователей. Основная задача ЦР – регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.
Пользователи – Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие PKI.
Сертификация в инфраструктуре с открытыми ключами строится по двум основным типам архитектуры (см. рисунке 29): иерархической (сверху вниз) и взаимной сертификации (разделенное доверие). В иерархической модели в сертификации участвуют следующие субъекты.
Рисунок 11.2. Архитектура сертификации.