Структура, сервисы и архитектура PKI

Основной информационной единицей, используемой при распространении ОК, является его цифровой сертификат.

Под цифровым сертификатом понимается цифровой документ, подтверждающий соответствие открытого ключа информации, идентифицирующей владельца ключа [16].

Цифровой сертификат позволяет защитить открытый ключ от его подделки злоумышленником. Он содержит подписанную информацию о владельце ОК, сведения об ОК, его назначении, области применения и т.д.

В настоящее время количество приложений, использующих криптографические функции с открытым ключом, постоянно возрастает. Вместе с этим возрастает и количество разнородных сертификатов. Задачу единообразной организации сервиса управления сертификатами и решает инфраструктура открытых ключей.

PKI представляет собой комплексную систему, обеспечивающую все необходимые сервисы для использования цифровых сертификатов, нацеленную на поддержку надежного и доверенного взаимодействия между пользователями. PKI позволяет реализовывать сервисы шифрования и выработки ЭЦП согласованно с широким кругом приложений, функционирующих в среде ОК.

Основными компонентами технологии PKI являются следующие [5].

1. Удостоверяющий центр.

2. Регистрационный центр.

3. Реестр сертификатов.

4. Архив сертификатов.

5. Конечные субъекты.

Основная функция удостоверяющего центра (УЦ) - заверение цифрового сертификата ОК субъекта своей подписью, поставленной на своем секретном ключе. УЦ является как бы нотариальной конторой, подтверждающей подлинность сторон, участвующих в обмене информацией. Любой субъект может верифицировать сертификат партнера, проверив подпись УЦ под его сертификатом. Это гарантирует то, что злоумышленник не сможет выдать себя за отправителя подписанных данных, заменив значение ОК своим.

Другими функциями УЦ являются:

1. формирование собственного СК и подписанного сертификата;

2. выпуск (создание и подписание) сертификатов, подчиненных УЦ;

3. ведение базы всех изданных сертификатов и формирование списка

аннулированных сертификатов.

Регистрационный центр является необязательным компонентом PKI. Он может брать на себя часть функций УЦ, например, регистрацию пользователей; обеспечение их взаимодействия с УЦ; сбор и передачу УЦ информации от заявителя, вносимой в сертификат.

Реестр сертификатов – специальный объект PKI, представляющий собой БД, хранящую сертификаты и списки аннулированных сертификатов.

Архив сертификатов выполняет функцию долговременного хранения информации обо всех изданных сертификатах.

Конечные субъекты – пользователи PKI, делящиеся на две категории: владельцев сертификатов и доверяющие стороны. Владельцем сертификата может быть доверенное физическое или юридическое лицо, приложение, сервер и т.д.

Система PKI должна взаимодействовать с множеством различных приложений: программное обеспечение групповой работы, электронной почты, сетей VPN и т.д. Наиболее общая функциональная схема взаимодействия компонентов PKI представлена на рис. 5.3.

Наиболее часто используемым подходом к реализации PKI является подход, основанный на сертификатах формата X.509.

Формат сертификата открытого ключа X.509.V3 определен в документе RFC 3280 Certificate & CRL Profile. Он представляет собой структурированную двоичную запись, содержащую ряд полей с элементами данных, сопровождаемыми цифровой подписью издателя сертификата. Структура сертификата X.509.V3 представлена в таблице 5.1.

 

 

Рис. 5.3. Взаимодействие компонентов PKI

 

Табл. 5.1. Структура сертификата X.509.V3

Номер поля Имя поля
Номер версии сертификата
Уникальный серийный номер сертификата
Идентификатор алгоритма ЭЦП, используемого для защиты сертификата от подделки
Имя издателя, выпустившего данный сертификат
Период действия сертификата (дата начала/дата конца действия)
Имя владельца секретного ключа, соответствующего ОК
Открытый ключ субъекта
Уникальный идентификатор издателя
Уникальный идентификатор субъекта
Расширения ( дополнительная информация, определяющая наличие у владельца сертификата прав доступа к той или иной системе и др.
ЭЦП сертификата

 

Каждый раз, при использовании сертификата необходимо верифицировать его подпись, а также то, что сертификат является действующим. Сертификаты, срок действия которых истек, должны аннулироваться УЦ. Сертификат может также аннулироваться до истечения срока своего действия, например, при компрометации секретного ключа, увольнении служащего организации и т.д.