Лекция 5. Модели и механизмы доверия
Лекция 5. Модели и механизмы доверия
Рассматриваются модели строгой и нестрогой иерархии удостоверяющих центров, иерархии на базе политик, модель распределенного доверия, четырехсторонняя модель доверия, web-модель доверия, модель доверия, сконцентрированного вокруг пользователя; объясняются принципы именования субъектов PKI и понятие идентичности субъекта, описываются сетевая и мостовая конфигурации PKI, обсуждается механизм кросс-сертификации и виды кросс-сертификатов.
Концепция доверия в PKI
При развертывании PKI необходимо иметь представление о распространенных моделях доверия, таких как:
* строгая иерархия удостоверяющих центров;
* нестрогая иерархия удостоверяющих центров;
* иерархия на базе политик;
* модель распределенного доверия;
* четырехсторонняя модель доверия;
* Web-модель доверия;
* модель доверия, сконцентрированного вокруг пользователя.
На практике редко используются модели доверия, которые считаются новыми в этой области. Рассмотрим перечисленные модели вместе с механизмом ( кросс-сертификацией ), который может играть важную роль в расширении доверия и управлении им.
Прежде чем перейти к описанию моделей доверия, важно внести ясность, что понимается под доверием в данном контексте. Наиболее точно смысл "доверия", по мнению авторов, передает формулировка рекомендаций X.509 ITU-T [78]: можно сказать, что один субъект "доверяет" другому субъекту, когда предполагает, что второй субъект будет вести себя точно так, как ожидает от него первый субъект. Таким образом, доверие имеет дело с предположениями, ожиданиями и поведением. Очевидно, это означает, что доверие не может быть измерено количественно, существует риск, связанный с доверием, и установление доверия не всегда происходит автоматически (например, когда субъектами в упомянутом выше определении являются люди). Концепция доверия раскрывает:
* где и как инициируется доверие в PKI;
* каким сертификатам может доверять субъект;
* как может быть подтверждено такое доверие;
* при каких обстоятельствах это доверие может быть ограничено или может контролироваться в данной среде.
В частности, в контексте PKI приведенное выше определение может быть использовано следующим образом: конечный субъект доверяет УЦ, когда предполагает, что последний будет устанавливать и поддерживать точное связывание атрибутов каждого субъекта с его открытым ключом (например, будет точно представлять идентичность субъекта, для которого он выпускает сертификат).
Термин "доверие" часто используется и по-другому: в литературе о PKI бывают ссылки на так называемый доверенный открытый ключ. Смысл термина "доверенный" в данном случае не связан с предположениями и ожиданиями одного субъекта относительно поведения другого субъекта. Можно сказать, что открытый ключ является "доверенным" для субъекта, когда тот уверен, что данный открытый ключ соответствует секретному ключу, который действительно легитимно принадлежит определенному поименованному субъекту. Обычно имя (или информация, идентифицирующая субъекта) появляется в сертификате вместе с открытым ключом. В лекции термин "доверие" используется в обоих смыслах.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Вопрос доверия
Вопрос доверия Вопрос: чем отличается хороший специалист по продвижению портала от плохого?Ответ: хорошему специалисту хватает профессионализма и смелости признать, что существуют вопросы, находящиеся вне сферы его компетенции, и предложить обратиться за
Выстраивание доверия
Выстраивание доверия Нам необходим бесплатный материал, который мы раздаем на собственном сайте, чтобы строить свою базу подписчиков. Некий обучающий или видеоурок на конкретную тему, интересующую многих людей в Сети. Раздаем материал бесплатно!В следующих
Глава 3 . Связывание модели процессов и модели данных
Глава 3. Связывание модели процессов и модели данных 3.1. Модель данных и ее соответствие модели процессов Функциональная модель BPwin является основой для построения модели данных. Действительно, не имея информации о том, как работает предприятие, бессмысленно строить
4.2. Создание модели данных на основе объектной модели с помощью ERwin Translation Wizard
4.2. Создание модели данных на основе объектной модели с помощью ERwin Translation Wizard Rational Rose позволяет строить объектную модель, но не может построить качественную физическую модель данных. Для решения этой задачи фирмой PLATINUM technology выпущена утилита ERwin Translation Wizard, позволяющая
Установление доверия
Установление доверия Вы сами удостоверяете сертификаты. Но вы также доверяете людям. Поэтому вы можете доверить людям и право удостоверять сертификаты. Как правило, если только владелец сам не вручил вам копию ключа, вы должны положиться на чьё-то чужое мнение о его
Модели отношений доверия
Модели отношений доверия В относительно закрытых системах, таких как небольшие организации и фирмы, можно без труда отследить путь сертификата назад к корневому ЦС. Однако, пользователям зачастую приходится связываться с людьми за пределами их корпоративной среды,
Степени доверия в PGP
Степени доверия в PGP Наивысший уровень доверия — безусловное доверие (Implicit Trust) — это доверие вашей собственной ключевой паре. PGP полагает, что если вы владеете закрытым ключом, то должны доверять и действиям соответствующего открытого. Все ключи, подписанные вашим
Лекция 13. Поддерживающие механизмы
Лекция 13. Поддерживающие механизмы Выше рассмотрены все основные методы создания ОО-программного продукта, кроме одного важнейшего набора механизмов. Недостающий раздел - наследование и все, что к нему относится. Перед тем как перейти к этой последней составляющей
Понятие доверия
Понятие доверия Новым популярным словом двадцать первого века стало слово "доверие". Доверие затрагивает многие стороны жизни людей, начиная от экономической, финансовой, деловой сфер и заканчивая принятием политических решений. Доверие требуется при приобретении
Политики доверия
Политики доверия Один из простейших, но не самых эффективных методов установления доверия в сфере электронных транзакций заключается в использовании прозрачных политик доверия. Политики доверия должны обеспечивать:* конфиденциальность;* корректное использование
Непрерывность доверия
Непрерывность доверия Политика доверия должна раскрывать внутренние механизмы доверия и демонстрировать, что доверие базируется не просто на обещаниях, а является важной составной частью деловых операций. Примерами внутренних механизмов доверия могут служить
Ассоциации доверия
Ассоциации доверия В повседневной жизни люди часто допускают транзитивные отношения доверия. Например, если наш друг дает хорошую рекомендацию человеку, которого мы не знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием, чем если бы познакомились
Лекция 2. Механизмы аутентификации
Лекция 2. Механизмы аутентификации Рассматривается аутентификация на основе паролей, механизмы одноразовой аутентификации, описывается механизм аутентификации Kerberos, обсуждается аутентификация при помощи сертификатов открытых ключей, анализируются возможности
Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы
Лекция 4. Сервисы безопасности PKI и базовые криптографические механизмы Описываются сервисы идентификации и аутентификации, целостности и конфиденциальности, рассматриваются и сравниваются между собой три класса криптографических механизмов: симметричные и
Лекция 12. Механизмы распространения информации PKI
Лекция 12. Механизмы распространения информации PKI Подробно рассматриваются механизмы распространения сертификатов и списков САС, обсуждается организация репозитория, дается характеристика каталога X.500, описывается упрощенный протокол доступа к каталогу LDAP,