Модель доверия и архитектура PKI
Модель доверия и архитектура PKI
Фундаментом доверия PKI являются надежные сертификаты открытых ключей. Надежность сертификатов открытых ключей зависит от надежности удостоверяющих центров, которые их подписывают. Это допущение формирует отношения доверия между различными сторонами - участниками системы PKI и позволяет конечным субъектам считать свои транзакции надежными.
Широкомасштабное развертывание PKI может вовлекать в инфраструктуру многие удостоверяющие центры, которые выпускают разнообразные сертификаты, создавая множественные отношения доверия в зависимости от области применения сертификатов, типов используемых приложений, пользователей сертификатов и видов деловых операций. Для обеспечения функциональной совместимости компонентов PKI должны быть определены отношения между этими удостоверяющими центрами и задана архитектура PKI.
Отношения между взаимодействующими удостоверяющими центрами формируют один или несколько путей сертификации, в результате верификации которых принимается решение о доверии к сертификату участника системы PKI. Организации, развертывающей PKI, необходимо определить, как строить пути сертификации и подтверждать надежность сертификатов. В PKI закрытой корпоративной системы все владельцы сертификатов работают в одной организации, доверяют одному и тому же УЦ, и путь сертификации строится на базе корневого сертификата этого центра.
При развертывании PKI сложной структуры организация должна определить, будет ли она доверять сертификатам пользователей и приложений только своего домена доверия или других доменов тоже. Как уже упоминалось ранее, домен доверия, или домен политик, характеризуется набором политик, в соответствии с которыми выпускает сертификаты данный УЦ. Если принимается решение о доверии ограниченному набору доменов, то должны быть выпущены кросс-сертификаты и тем самым внедрена в другие домены модель доверия данной организации. Если организация планирует использовать, например, приложение глобальной защищенной электронной почты, то потребуется более сложная структура кросс-сертификации всех входящих в состав PKI удостоверяющих центров, способная обеспечить построение путей сертификации между любыми двумя владельцами сертификатов из любых доменов доверия.
Модель доверия важна для определения отношений не только с внешними сторонами, но и между участниками PKI внутри организации. Так, некоторым организациям свойственна сложная корпоративная иерархия, поэтому в составе их PKI могут быть один головной УЦ и множество подчиненных ему удостоверяющих центров отделов и подразделений, то есть модель доверия будет базироваться на традиционных для конкретной компании правилах ведения бизнеса и отношениях между подразделениями. В других случаях модель доверия PKI организации может строиться на основе подписанных соглашений о политике применения сертификатов и ответственности удостоверяющих центров, связанных отношениями доверия, - тогда должны быть рассмотрены вопросы о степени ответственности организации и пользователей сертификатов в условиях кросс-сертификации.
В настоящее время крупномасштабные корпоративные PKI базируются как на иерархиях, так и на распределенных моделях доверия. Распределенная модель является более гибкой, потому что позволяет присоединять и удалять удостоверяющие центры, минимально вмешиваясь в систему взаимодействия с другими удостоверяющими центрами, как внутри организации, так и вовне.
В иерархической PKI ущерб от выхода из строя конкретного УЦ (например, из-за компрометации секретного ключа подписи УЦ) зависит от того, на каком уровне иерархии он находится. Чем ближе УЦ к верху иерархии, тем более разрушительны для всей PKI последствия его выхода из строя. Очевидно, что для защиты более высоких уровней иерархии, особенно головного УЦ, необходимы дополнительные меры безопасности, например, использование ключа подписи большей длины и/или хранение материала секретных ключей при помощи аппаратного модуля.
В настоящее время иерархическая модель, как правило, используется в web-среде, некоторые корпоративные домены также адаптируют ее. Считается, что иерархическая модель является хорошим механизмом контроля политики подчиненных удостоверяющих центров, но на самом деле аналогичные возможности контроля существуют и у кросс-сертифицированных удостоверяющих центров [44].
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Вопрос доверия
Вопрос доверия Вопрос: чем отличается хороший специалист по продвижению портала от плохого?Ответ: хорошему специалисту хватает профессионализма и смелости признать, что существуют вопросы, находящиеся вне сферы его компетенции, и предложить обратиться за
Выстраивание доверия
Выстраивание доверия Нам необходим бесплатный материал, который мы раздаем на собственном сайте, чтобы строить свою базу подписчиков. Некий обучающий или видеоурок на конкретную тему, интересующую многих людей в Сети. Раздаем материал бесплатно!В следующих
Установление доверия
Установление доверия Вы сами удостоверяете сертификаты. Но вы также доверяете людям. Поэтому вы можете доверить людям и право удостоверять сертификаты. Как правило, если только владелец сам не вручил вам копию ключа, вы должны положиться на чьё-то чужое мнение о его
Сеть доверия
Сеть доверия Сеть доверия объединяет обе предыдущие модели, также привнося принцип, что доверие есть понятие субъективное (что соотносится с житейским представлением), и идею о том, что чем больше информации, тем лучше. Таким образом, это накопительная модель доверия.
Степени доверия в PGP
Степени доверия в PGP Наивысший уровень доверия — безусловное доверие (Implicit Trust) — это доверие вашей собственной ключевой паре. PGP полагает, что если вы владеете закрытым ключом, то должны доверять и действиям соответствующего открытого. Все ключи, подписанные вашим
Эволюция доверия
Эволюция доверия Одним из главных сил развития технологии является закон, известный под названием эффект системы. Согласно этому закону полезность системы растет по экспоненциальному закону в зависимости от числа использующих ее людей. Классический пример значения
Понятие доверия
Понятие доверия Новым популярным словом двадцать первого века стало слово "доверие". Доверие затрагивает многие стороны жизни людей, начиная от экономической, финансовой, деловой сфер и заканчивая принятием политических решений. Доверие требуется при приобретении
Политики доверия
Политики доверия Один из простейших, но не самых эффективных методов установления доверия в сфере электронных транзакций заключается в использовании прозрачных политик доверия. Политики доверия должны обеспечивать:* конфиденциальность;* корректное использование
Непрерывность доверия
Непрерывность доверия Политика доверия должна раскрывать внутренние механизмы доверия и демонстрировать, что доверие базируется не просто на обещаниях, а является важной составной частью деловых операций. Примерами внутренних механизмов доверия могут служить
Ассоциации доверия
Ассоциации доверия В повседневной жизни люди часто допускают транзитивные отношения доверия. Например, если наш друг дает хорошую рекомендацию человеку, которого мы не знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием, чем если бы познакомились
Концепция доверия в PKI
Концепция доверия в PKI При развертывании PKI необходимо иметь представление о распространенных моделях доверия, таких как:* строгая иерархия удостоверяющих центров;* нестрогая иерархия удостоверяющих центров;* иерархия на базе политик;* модель распределенного доверия;*
Модель распределенного доверия
Модель распределенного доверия Модель распределенного доверия разделяет доверие между двумя или несколькими удостоверяющими центрами. Пусть пользователь А владеет копией открытого ключа своего пункта доверия - УЦ1, а пользователь В - копией открытого ключа своего
Четырехсторонняя модель доверия
Четырехсторонняя модель доверия Обоснованность четырехсторонней модели доверия была протестирована в пилотном проекте обеспечения функциональной совместимости удостоверяющих центров Национальной Ассоциации клиринговых палат (США) [90]. Четырехсторонняя модель
Модель доверия, сконцентрированного вокруг пользователя
Модель доверия, сконцентрированного вокруг пользователя В модели доверия, сконцентрированного вокруг пользователя, каждый пользователь полностью самостоятельно отвечает за решение, на какие сертификаты полагаться и какие сертификаты отвергать. Это решение зависит от
Архитектура расширенного списка доверия
Архитектура расширенного списка доверия Архитектура расширенного списка доверия корректирует недостатки простого списка доверия. Каждый пункт доверия в списке идентифицирует PKI, которой доверяет данный пользователь. Эта инфраструктура может быть одиночным УЦ,