1 / 53

ز ي ر ساخت كليد عمومي و گواهي هويت

ز ي ر ساخت كليد عمومي و گواهي هويت. اهداف. تب يي ن مشکلات مد ي ر ي ت کل ي د ارا ي ه ز ي رساخت کل ي د عموم ي به عنوان راه حل ب ي ان مفاه ي م مربوط به گواه ي ها و مولفه ها و معمار ي ها ي متفاوت ز ي رساخت کل ي د عموم ي. فهرست مطالب. مفاه ي م وکل ي ات زير ساخت كليد عمومي گواه ي

wesley-pittman
Download Presentation

ز ي ر ساخت كليد عمومي و گواهي هويت

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. زير ساخت كليد عمومي و گواهي هويت

  2. اهداف • تبيين مشکلات مديريت کليد • ارايه زيرساخت کليد عمومي به عنوان راه حل • بيان مفاهيم مربوط به گواهي ها و مولفه ها و معماريهاي متفاوت زيرساخت کليد عمومي

  3. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  4. براي ديدن معادل انگليسي ترجمه ها به اسلايد لغت نامهمراجعه نماييد. کليد واژه ها:

  5. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  6. مساله توزيع کليد عمومي 1 • با استفاده از رمزنگاریي کليد عمومي تا حد زيادي مشکلات توزيع کليد (خصوصي) را حل شده است اما... • فرض کنيد Scottيک زوج کليد عمومي وخصوصي تهيه کند و سريعاً کليد عمومي را به همگان تحت عنوان کليد عموميBill معرفي کند • اطلاعات محرمانه برايBill با اين کليد رمز ميشود • نه تنها Bill به اين اطلاعات دسترسي ندارد، بلکه Scott با داشتن کليد خصوصي متناظر ميتواند به اطلاعات محرمانه Bill دسترسي پيدا نمايد.

  7. راه حل توزيع کليد براي حل اين مساله و ساير مسايل مرتبط با مديريت کليد از زير ساخت كليد عمومي(PKI) و گواهي بهره ميبريم.

  8. زير ساخت كليد عمومي (PKI) • PKI مجموعه راه حلهايي براي مسايل مرتبط با توزيع امن کليد عمومی و ساير موارد از قبيل: • توليد کليد • توليد، ابطال و تاييد گواهي • اعتماد سازي بين اشخاص

  9. زير ساخت كليد عمومي (PKI) زير ساخت كليد عمومي(PKI) اجزاء و خدمات مورد نياز براي به کار گيري عملي سيستمهاي مبتني بر کليد عمومي را فراهم مي آورد. (A. Nash, RSA Press)

  10. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  11. گواهي(Certificate) گواهي مستند رسمي براي تضمين تعلق شناسه به كليد است. گواهي ميتواند شامل اطلاعات مربوط به: • کليد • شناسه صاحب کليد • نوع کاربرد کليد • دوره اعتبار سند • اطلاعاتي که مي تواند براي بررسي صحت شناسه و كليد استفاده شود

  12. چگونه به يک گواهي اعتماد کنيم؟ براي اينکه به يگ گواهي اعتماد کنيم اين گواهي بايد توسط شخصي که مورد اعتماد ماست امضاء شده باشد. مبناي ايجاد اعتماد سراسري وجود يکشخص ثالث مورد اعتمادهمگان ميباشد. اين شخص را مرجع صدور گواهيCA ميناميم

  13. مدل اعتماد • مرجع صدور گواهي + مسير تصديق گواهي • همگان به يک مرجع صدور گواهي مبنا (root CA) اعتماد دارند • ( به عنوان مثال Verisign, Thawte, Entrust, BT,…پیوست) • فرض کنيد کليد عموميCA با حفظ امنيت در ميان تمام کاربران منتشر ميشود. • به عنوان مثال: با روشهای فیزیکی، درج در اخبار ... • امکان پذیر است زیرا این کار تنها برای یک نقطه انجام میشود.

  14. مدل اعتماد • CA کليد عمومي شخص به طور ديجيتالي امضاء ميکند. • علاوه بر کلید اطلاعات جانبی نیز درج میشوند. • برای صدور گواهی باید هويت کاربر برای CA احراز شود. • CA ميتواند نقاط ديگري را نيز به عنوان مراجع صدور گواهي منصوب نمايد.

  15. ویژگیهای گواهی کلید عمومی • جامعيت گواهي به راحتي قابل كنترل است. هر تغييري در آن به سادگي كنترل مي‏شود. • نیازی به رمزگذاری در ارسال و یا ذخيره گواهي نیست. • براي خواندن محتواي گواهي به كليد عمومي CA نياز داريم.

  16. گواهيX.509 • محصول ITU-Tو بخشي از توصيه‏هاي سري X.500 • گواهي X.509 در S/MIME، IPSec، SSL/TLS،‌و SETاستفاده شده است.

  17. گواهيX.509 • :CA << A >> به معناي صدور گواهی براي كاربر Aتوسط مرجع CAاست. • همه كاربران در محدودة يك CA:وجود اعتماد مشترك و امكان بازبيني (بررسی صحت) گواهي صادره.

  18. نماي کليX.509

  19. Version 1 Version 2 Version 3 All Versions نسخه هاي پياپيX.509 Version Certificate Serial Number Signature Algorithm Identifier Algorithm Parameters Issuer Name Not Before Period of Validity Not After Subject Name Algorithms Subject’s Public Key Info Parameters Key Issuer Unique Name Subject Unique Name Extensions Algorithms Signature Parameters Encrypted

  20. مثالی از گواهی کلید عمومی

  21. نحوه بازبينييک گواهي • به طور اساسي، بازبيني گواهي عبارتست از بررسي صحت امضاء ديجيتال • فرض : کليد عموميCA مورد اعتماد کاربر با حفظ امنيت منتشر شده است. • به بيان ديگر يک کليد عمومي مورد اعتماد در اختيار ميباشد. • حال بايد صحت امضاء CA بر روي گواهي را بررسي کنيم. • در برخي موارد که کاربر CA را نميشناسد بايد زنجيره گواهيها را بپيمايد تا به ورجع صدور گواهي مبنا برسد. • همچنين بسته به کاربرد و زمان، بايد ساير ميدانهاييک گواهي را نيز بررسي کنيم.

  22. استفاده از گواهي براي كنترل درستي امضاء

  23. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  24. وظايفزير ساخت کليد عمومي PKI • ابطال گواهي • نسخه‏برداري و بازيابي كليد (Backup & Restore) • انكارناپذيري امضاء‏هاي رقمي • بروز‏آوري خودكار زوج كليد-گواهي‌‏ها • مديريت سابقه كليدها • پشتيباني از cross-certification • نرم‏افزار طرف كارفرما براي تعامل امن و مطمئن با موارد بالا.

  25. مساله عدم اعتبار گواهي يا کليد عمومي • فرض کنيد Billيک زوج کليد عمومي وخصوصي تهيه کند وکليد عمومي را بهصورت امني به همگان معرفي کند • اطلاعات محرمانه برايBill با اين کليد رمز ميشود • تا اينکه ... • کليد خصوصي بيل به روشي غير مجاز توسط Scott کشف ميشود • Scott با داشتن کليد خصوصي متناظر ميتواند به اطلاعات محرمانه Bill دسترسي پيدا نمايد حتي اگر Bill از اين ماجرا مطلع شود و کليد را تعويض نمايد بازهم ممکن است ديگران از کليد قبلي استفاده نمايند و اطلاعات Bill کماکان در معرض خطر ميباشد.

  26. نکاتي چند در مورد ابطال گواهي • افشاء کليد يک واقعيت غير قابل انکار است. همچنين امکان تغيير سمت يا موقعيت صاحب کليد وجود دارد. • در اينگونه موارد، بايد کليد باطل شود. • ابطال گواهي بايد از جانب يک شخص مورد اعتماد اعلام شود. • گواهي ابطال گواهي • بايد ابطال گواهي به اطلاع همگان برسد.

  27. اعلام ابطال گواهي • اعلام ابطال گواهي آسان نيست: • از فهرست هاي ابطال گواهيCRL استفاده ميشود. اين فهرستها شامل ليستي از گواهيهاي منقضي نشده بي‌اعتبار ميباشند که توسط CA امضاء شده است. • بنا براين فرآيند بازبيني يک گواهي بايد به طور مداوم اين فهرست را بررسي کند. • اين امر منجر به مشکلاتي در زمينه مقياس پذيري ميشود

  28. اعلام ابطال گواهي :مشکل فرهنگي • کاربران عمدتاً اين گزينه را غير فعال ميکنند. به همين دليلکوتاه بودن زمان انقضاء کليدها مورد ترجيح ميباشد.

  29. عدم اعتبار گواهي 3

  30. نسخه‏برداري و بازيابي كليد • دو دليل براي نسخه‏ برداري كليد • فراموشي كلمه رمز که منجر به از دست دادن داده‏هاي حساس ميشود. • حتي رمز نكردن به خاطر ترس از گم‏شدن كلمه رمز وجود دارد. • گم شدن، دزديده شدن، و يا خرابي رسانه‏اي كه كليدها روي آن ذخيره شده است. بايد مركزي براي بازيابي كليد وجود داشته باشد.

  31. نسخه‏برداري و بازيابي كليد - 2 • عدم انكار دليلي بر عدم نسخه‏برداري كليد • انكار يعني اعلام عدم دخالت در يك تراكنش. • در فرم كاغذي امضاء‌ اين كار را كنترل مي‏كند. • در فرم الكترونيكي: امضاء رقمي.

  32. نسخه‏برداري و بازيابي كليد - 3 • عدم انكار مستلزم توليد و ذخيرة امن كليد امضاء تنها در محدوده تحت كنترل كاربر است • نبايد از آن کلید خصوصی Backup گرفت. • از نظر فني نیز ضرورت ندارد: • میتوان زوج كليد مجزابرای رمزگذاری توليد و استفاده نمود. بنابر اين دو زوج كليد براي هر كاربر لازم است.

  33. مديريت سابقه كليدها-1 • نبايد كليدها ابدي باشند. پس بايد: • كليدها را بروز آورد. • بروزآوري كليد بايد شفاف باشد، در نتيجه کليدها بايد ‌قبل از انقضاء ‌بروز آيد.

  34. مديريت سابقه كليدها-2 • برای کلید های رمز گذاری: • سابقه زوج كليدهاي قبلي را نگهداشت تا داده‏هاي رمز شده با زوج قبلي قابل رمزبرداري باشند. • توسط نرم‏افزار طرف كارفرما انجام مي‏شود. • نقطه مقابل: وقتي كليدهاي امضاء بروز مي‏آيند بايد کلید خصوصی كاملا نابود شوند!

  35. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  36. مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • تا حال صادر كننده را مسئول توليد، مديريت، و توزيع گواهي و CRL تلقي كرده‌ايم. • PKI از تعدادي مؤلفه تشكيل شده است كه هركدام بخشي از وظايف را به خوبي انجام مي‌دهند...

  37. مؤلفه‌‌‌‌‌‌هايPKI • چهار مؤلفه اصلي: • مرجع صدور گواهييا CA • مرجع نام نويسييا RA برايكنترل محتواي گواهي و اطمينان از تعلق به دارنده آن. • انباره برايتوزيع گواهي‌ها و فهرست هاي ابطال گواهيها با حداكثر كارآيي و دسترس پذيري لازم. • بايگاني انباره طولاني و امن براي نگهداري دراز مدت اطلاعات

  38. مؤلفه‌‌‌‌‌‌هايPKI

  39. user registration KEY STATE key establishment protocol new user key generation pre op user initialization recovered key initial key existing user key recovery new key new key key backup key update key installation key loss no compromise op key registration directory normal use of the key key compromise cryptoperiod expiry old key (expired) post op archival revocation key movement system trigger ob key de-registration and destruction

  40. مرجع صدور گواهي يا CA • يک CA با دو صفت نام و كليد عمومي شناخته مي‌شود. و مجموعه ايي از مجموعه‌اي از سخت افزار، نرم افزار، و اپراتورها ميباشد.

  41. وظايف CA • صدور گواهي (توليد و امضاء) براي كاربران و يا ديگر CAها. • نگهداري وضعيت گواهي‌ها و صدور فهرست هاي ابطال گواهي CRL.

  42. مرجع نام نويسي يا RA • روشهاي تأييد هويت متقاضي • RA قبل از ارائه در خواست به CA اطلاعات لازم را جمع آوري و كنترل مي‌كند: مراجعه شخص، تأييد هويت. • اگر قبلاً زوج كليد توليد كرده باشد همان کلیدها به CA ارسال مي‌شود. • در غير اين صورت يك هويت شناسي يكبار مصرف مي‌گيرد تا پس از توليد به CA ارائه دهد.

  43. فهرست مطالب • مفاهيم وکليات زير ساخت كليد عمومي • گواهي • وظايفزير ساخت کليد عمومي PKI • مؤلفه‌‌‌‌‌‌هايزير ساخت کليد عموميPKI • معماري زير ساخت کليد عمومي PKI

  44. معماري زير ساخت کليد عمومي PKI • مادام كه دارندگان گواهي از يك CA گواهي گرفته باشند مسئله ساده است. • وقتي كه دارندگان گواهي از CAهاي مختلف گواهي گرفته باشند چگونه اعتماد كنند؟ • معماري ساده زير ساخت کليد عمومي: • تنها يك CA در سازمان: هرگونه اشكال منجر به لطمه ديدن اعتماد و احتمالاً صدور مجدد گواهي‌ها.

  45. گواهي متقابل • يک محيط بزرگ شامل چند CA يا درختي ازCA ها را در نظر بگيريد. • هر CAبه كاربران خود سرويس مي‏دهد و لي به ازاء هر CAديگر هم يك گواهي نزد خود دارد. • با فرض Aو Bمربوط به دو CAمختلفX1و X2 X1 <<X2>> X2 <<B>> O X2 <<X1>> X1 <<A>> O

  46. گواهي متقابل X2 X1 B A

  47. Enterprise PKI • دومعماري مختلف براي PKI بزرگ عبارتند از: • سلسله مراتبي • مشبک

  48. لغت نامه

More Related