Поддержка безопасности транспортного уровня на основе PKI

Сертификаты являются центральным компонентом всех сервисов аутентификации и управления ключами, предлагаемых как TLS, так и SSL. Эти сервисы полагаются на связывание идентичности субъекта с его открытым ключом. Для идентификации web-серверов рекомендуется использовать DNS-имена (типа www.alpha.com) и указывать их в дополнении сертификатов Subject Alternative Name (параметр dNSName ). Если DNS-имя не представлено в сертификате, то для идентификации используется отличительное имя субъекта.

Обычно при взаимодействии клиента и сервера сервер предъявляет сертификат, а клиент - нет, в результате чего происходит односторонняя аутентификация сервера клиентом, который сохраняет свою анонимность. Сервер может потребовать от клиента аутентификации, запрашивая сертификат по протоколу Handshake Protocol. В этом случае клиент должен иметь сертификат и предоставить его серверу. Обычно клиент предъявляет сертификат ключа подписи. В процессе верификации заверенного цифровой подписью сообщения, отправленного по протоколу Handshake Protocol, выясняется, способен ли клиент сгенерировать подпись при помощи своего секретного ключа, соответствующего открытому ключу подписи, который содержится в сертификате.

Сертификаты, используемые для поддержки безопасности транспортного уровня, также должны содержать дополнение Key Usage, отражающее соответствующее назначение открытого ключа, который содержится в сертификате:

* цифровая подпись, если необходимо выполнять верификацию подписей;

* шифрование ключей, чтобы обеспечить RSA-шифрование;

* согласование ключей, если необходима поддержка согласования ключей методом Диффи-Хэллмана.

Клиент должен быть уверен, что открытый ключ принадлежит серверу. Если используется некорректный открытый ключ, то постороннее лицо может получить начальный секрет и возможность сгенерировать главный секрет и все другие секретные параметры, вычисляемые с его помощью. Сертификат подтверждает принадлежность открытого ключа серверу.

При аутентификации клиента сервер полагается на принадлежность открытого ключа клиенту и принимает решение о возможности доступа. Если используется некорректный открытый ключ, то доступ к серверу может получить постороннее лицо, а не та сторона, которой доступ необходим. Сертификат обеспечивает необходимое связывание открытого ключа с идентичностью клиента.

Поддержка безопасности транспортного уровня на основе PKI

Читайте также

Общий обзор средств безопасности: дескриптор безопасности

5.2. Место информационной безопасности экономических систем в национальной безопасности страны

Протоколы транспортного уровня

Центр обеспечения безопасности и компоненты безопасности

Поддержка протоколов высокого уровня

Глава 4 Технологии физического уровня и уровня связи данных

Атрибуты уровня компоновочного блока (и уровня модуля)

Ускорение на твердой основе

Глава 7 Поддержка безопасности

Аутентификация на основе паролей

Иерархии на основе политик

Поддержка защищенной электронной почты на основе PKI

Средства безопасности транспортного уровня

Средства безопасности IP-уровня

Поддержка безопасности IP-уровня на основе PKI