Модель распределенного доверия
Модель распределенного доверия
Модель распределенного доверия разделяет доверие между двумя или несколькими удостоверяющими центрами. Пусть пользователь А владеет копией открытого ключа своего пункта доверия - УЦ1, а пользователь В - копией открытого ключа своего пункта доверия - УЦ2. УЦ1 - корень строгой иерархии, которая включает пользователя А, УЦ2 - корень строгой иерархии, в которую входит пользователь В. Если каждая из этих иерархий является неглубокой иерархией с доверенным издателем, то вместе они образуют полностью одноранговую сеть, потому что все удостоверяющие центры являются действительно независимыми одноранговыми узлами сети. В этой архитектуре отсутствуют подчиненные удостоверяющие центры. С другой стороны, если каждая иерархия является многоуровневой, то результат объединения иерархий имеет полностью древовидную структуру. Отметим, что головные удостоверяющие центры связаны друг с другом равноправными отношениями, но каждый головной УЦ действует как вышестоящий для одного или более подчиненных удостоверяющих центров. Одним из вариантов архитектуры распределенного доверия может быть гибридная конфигурация с одной или более иерархиями с доверенным издателем или одним или более многоуровневыми деревьями [44]. Эта конфигурация изображена на рис. 5.2.
Рис. 5.2. Архитектура распределенного доверия
Обычно (хотя и не всегда) архитектура полностью одноранговой сети выбирается при развертывании PKI внутри отдельного корпоративного домена (например, внутри отдельной компании). Полностью древовидные и гибридные архитектуры часто возникают в результате связывания независимых PKI, ранее принадлежавших разным корпоративным доменам, причем эти инфраструктуры не обязательно подчиняются общему головному УЦ.
Изолированные PKI-домены могут быть сконфигурированы разными способами, в том числе на базе строгой иерархии, архитектуры полностью одноранговой сети или любой модели доверия, обсуждающейся в данной лекции. Важно, чтобы поддерживалась функциональная совместимость между любой комбинацией этих моделей доверия [96].
Процесс взаимного связывания одноранговых головных удостоверяющих центров обычно называют кросс-сертификацией , хотя в последнее время все чаще используется термин "создание сети PKI " (в частности для полностью древовидной и гибридной архитектур). Для кросс-сертификации, как правило, используются два разных типа конфигурации PKI: сетевая и мостовая (конфигурация hub-and-spoke).
Следует отметить, что в настоящее время специалистами изучаются и предлагаются и другие методы создания отношений доверия между PKI-доменами:
* взаимное распознавание;
* использование списков доверия к сертификатам;
* применение сертификатов аккредитации.
Концепция взаимного распознавания (кросс-распознавания) предложена рабочей группой по телекоммуникациям организации экономического сотрудничества стран Азиатско-Тихоокеанского региона и заключается в том, что удостоверяющие центры могут распознавать друг друга среди многих PKI-доменов, будучи аккредитованными общим аккредитационным центром или доверенной третьей стороной.
Список доверия к сертификатам (Certificate Trust List - CTL), по определению специалистов корпорации Microsoft, является заверенным цифровой подписью списком сертификатов головных удостоверяющих центров, который признается администратором корпоративной сети пригодным для выполнения аутентификации клиентов и защиты электронной почты.
Концепция сертификата аккредитации впервые появилась в проекте PKI правительства Австралии (Gatekeeper) и заключается в том, что хорошо известные и надежные удостоверяющие центры при определенных условиях ручаются за другие удостоверяющие центры [44]. Использование сертификатов аккредитации можно сравнить с односторонней кросс-сертификацией в том смысле, что аккредитационный УЦ выпускает сертификаты для всех удостоверяющих центров, которые удовлетворяют требованиям аккредитации. При этом иерархия не поддерживается, и аккредитованные удостоверяющие центры могут быть полностью автономными субъектами. Сертификаты аккредитации можно использовать для реализации идеи взаимного распознавания.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Вопрос доверия
Вопрос доверия Вопрос: чем отличается хороший специалист по продвижению портала от плохого?Ответ: хорошему специалисту хватает профессионализма и смелости признать, что существуют вопросы, находящиеся вне сферы его компетенции, и предложить обратиться за
Создание распределенного приложения
Создание распределенного приложения Ничто не принесет большей радости, чем создание реального распределенного приложения на новой платформе. Чтобы показать, как быстро можно создать и запустить приложение, использующее слой удаленного взаимодействия .NET, мы построим
14.4.1. Инициализация массива, распределенного из хипа A
14.4.1. Инициализация массива, распределенного из хипа A По умолчанию инициализация массива объектов, распределенного из хипа, проходит в два этапа: выделение памяти для массива, к каждому элементу которого применяется конструктор по умолчанию, если он определен, и
Установление доверия
Установление доверия Вы сами удостоверяете сертификаты. Но вы также доверяете людям. Поэтому вы можете доверить людям и право удостоверять сертификаты. Как правило, если только владелец сам не вручил вам копию ключа, вы должны положиться на чьё-то чужое мнение о его
Сеть доверия
Сеть доверия Сеть доверия объединяет обе предыдущие модели, также привнося принцип, что доверие есть понятие субъективное (что соотносится с житейским представлением), и идею о том, что чем больше информации, тем лучше. Таким образом, это накопительная модель доверия.
Степени доверия в PGP
Степени доверия в PGP Наивысший уровень доверия — безусловное доверие (Implicit Trust) — это доверие вашей собственной ключевой паре. PGP полагает, что если вы владеете закрытым ключом, то должны доверять и действиям соответствующего открытого. Все ключи, подписанные вашим
Облако в погонах: военные системы распределённого моделирования Евгений Лебеденко, Mobi.ru
Облако в погонах: военные системы распределённого моделирования Евгений Лебеденко, Mobi.ru Опубликовано 30 ноября 2011 года Современная война — штука высокотехнологичная. Под завязку напичканные электроникой, нынешние средства разрушения всего и вся
Эволюция доверия
Эволюция доверия Одним из главных сил развития технологии является закон, известный под названием эффект системы. Согласно этому закону полезность системы растет по экспоненциальному закону в зависимости от числа использующих ее людей. Классический пример значения
Понятие доверия
Понятие доверия Новым популярным словом двадцать первого века стало слово "доверие". Доверие затрагивает многие стороны жизни людей, начиная от экономической, финансовой, деловой сфер и заканчивая принятием политических решений. Доверие требуется при приобретении
Политики доверия
Политики доверия Один из простейших, но не самых эффективных методов установления доверия в сфере электронных транзакций заключается в использовании прозрачных политик доверия. Политики доверия должны обеспечивать:* конфиденциальность;* корректное использование
Непрерывность доверия
Непрерывность доверия Политика доверия должна раскрывать внутренние механизмы доверия и демонстрировать, что доверие базируется не просто на обещаниях, а является важной составной частью деловых операций. Примерами внутренних механизмов доверия могут служить
Концепция доверия в PKI
Концепция доверия в PKI При развертывании PKI необходимо иметь представление о распространенных моделях доверия, таких как:* строгая иерархия удостоверяющих центров;* нестрогая иерархия удостоверяющих центров;* иерархия на базе политик;* модель распределенного доверия;*
Четырехсторонняя модель доверия
Четырехсторонняя модель доверия Обоснованность четырехсторонней модели доверия была протестирована в пилотном проекте обеспечения функциональной совместимости удостоверяющих центров Национальной Ассоциации клиринговых палат (США) [90]. Четырехсторонняя модель
Модель доверия, сконцентрированного вокруг пользователя
Модель доверия, сконцентрированного вокруг пользователя В модели доверия, сконцентрированного вокруг пользователя, каждый пользователь полностью самостоятельно отвечает за решение, на какие сертификаты полагаться и какие сертификаты отвергать. Это решение зависит от
Модель доверия и архитектура PKI
Модель доверия и архитектура PKI Фундаментом доверия PKI являются надежные сертификаты открытых ключей. Надежность сертификатов открытых ключей зависит от надежности удостоверяющих центров, которые их подписывают. Это допущение формирует отношения доверия между
Облако в погонах: военные системы распределённого моделирования
Облако в погонах: военные системы распределённого моделирования Автор: Евгений Лебеденко, Mobi.ruОпубликовано 30 ноября 2011 годаСовременная война - штука высокотехнологичная. Под завязку напичканные электроникой, нынешние средства разрушения всего и вся подчиняются