1 / 36

Использование PKI для создания безопасных сетей

Использование PKI для создания безопасных сетей. Александр Шаповал Системный инженер. Содержание. Немного о криптологии Что такое инфраструктура открытого ключа? Реализация PKI в Windows 2000 Использование Windows 2000 PKI в сетевой среде. Немного о криптологии. Криптология.

melosa
Download Presentation

Использование PKI для создания безопасных сетей

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Использование PKI для создания безопасных сетей Александр Шаповал Системный инженер

  2. Содержание • Немного о криптологии • Что такое инфраструктура открытого ключа? • Реализация PKI в Windows 2000 • Использование Windows 2000 PKI в сетевой среде

  3. Немного о криптологии

  4. Криптология • Криптология – область знаний, охватывающая два направления: • криптография - наука о способах преобразования (шифрования) информации с целью ее защиты от незаконных пользователей • криптоанализ - наука (и практика ее применения) о методах и способах вскрытия шифров

  5. Симметричное шифрование – один ключ Асимметричное шифрование – пара ключей: открытый и личный Методы шифрования ...Совершенно секретно!... @KLDJK*(;lxdg;o)J)Г(?л*Щ)(&(*(#Xlk;oD; ...Совершенно секретно!... Алгоритм шифрования Алгоритм расшифрования ...Совершенно секретно!... @KLDJK*(;lxdg;o)J)Г(?л*Щ)(&(*(#Xlk;oD; ...Совершенно секретно!... Алгоритм шифрования Алгоритм расшифрования

  6. Использование асимметричных методов: (шифрование) @;o)J)Г(?л(&(*(#Xl; @;o)J)Г(?л(&(*(#Xl; @;o)J)Г(?л(&(*(#Xl; @;o)J)Г(?л(&(*(#Xl; Алгоритм шифрования Алгоритм расшифрования Открытый ключ Личныйключ

  7. @;o)J)Г(?л(&(*(#Xl; Использование асимметричных методов: (цифровая подпись) @;o)J)Г(?л(&(*(#Xl; Hash Hash Алгоритм расшифрования Алгоритм шифрования Digest Digest  Digest Личный ключ Открытыйключ

  8. Плюсы и минусы • Симметричные алгоритмы • скорость, эффективность, небольшие накладные расходы • проблема обмена ключами • Асимметричные алгоритмы • сложность, вычислительные расходы • эффективный обмен ключами • Используется комбинация обоих методов

  9. Алгоритмы Windows 2000 • Симметричное шифрование • Data Encryption Standard (DES) • DES: 56 бит • DESX: 128 бит • Triple DES: 112 бит, 168 бит • Rivest’s Cipher (RC) • RC2, RC4: 40 бит, 56 бит, 128 бит • Обмен ключами • Diffie-Hellman Key Agreement • RSA Key Exchange

  10. Алгоритмы Windows 2000 • Хеширование • Message Digest (MD) • MD2, MD4, MD5 • Secure Hash Algorithm (SHA-1) • Hashed Message Authentication Code (HMAC) • Цифровая подпись • Digital Signature Algorithm (DSA) • RSA Digital Signature

  11. CSP и CryptoAPI • CryptoAPI • Программные интерфейсы к криптографическим службам Windows 2000 • Cryptographic Service Provider • Криптографические операции • Генерация и хранение ключей • Microsoft CSPs • Базовый набор • High Encryption Pack

  12. CSP и CryptoAPI Приложение A Приложение A Приложение A Слойприложений CryptoAPI Advapi32.dll Crypt32.dll Системныйслой CryptoSPI Слойпоставщиков CSP #1 CSP #2 CSP #3 CSP #4

  13. Что такое инфраструктура открытого ключа?

  14. Почему нужна инфраструктура? • Необходимо быть уверенным, что полученный ключ – ключ отправителя • Открытые ключи должны быть подписаны легитимным органом • Легитимный орган • отдел кадров • министерство • коммерческая организация

  15. Почему нужна инфраструктура? • Необходима служба, с помощью которой можно эффективно управлять распределением открытых ключей

  16. Компоненты • Certification Authority (CA) • Политики выдачи сертификатов • Хранилище сертификатов • Registration Authority (RA) • Список отозванных сертификатов (CRL) • Протокол проверки легитимности сертификата • Структура доверия Центров сертификации • Иерархия Центров сертификации • Кросс-сертификация

  17. Цифровой сертификат • Цифровое удостоверение • Стандарт X.509 версия 3 • Информация, однозначно идентифицирующая субъекта • Его открытый ключ • Допустимые режимы использования • Информация, необходимая для проверки сертификата • Срок действия сертификата • Информация о службе, выдавшей сертификат • Цифровая подпись CA

  18. Реализация PKI в Windows 2000

  19. MicrosoftCertificate Services • Certification Authority • Выдача сертификатов клиентам • Генерация ключей, если нужно • Отзыв сертификатов • Публикация Certificate Revocation List (CRL) • Хранение истории всех выданных сертификатов • Web Enrollment Support • Запрос и получение сертификата через Web-интерфейс

  20. Архитектура CA Protected Store Личные ключи Открытые ключи CSP Сертификаты Entry Module Exit Module Запросы PKCS10 Certificate Services CRL Certificate Templates Policy Module Certificate Database

  21. Microsoft CA • Enterprise CA • Интегрирован с Active Directory • Выдает сертификаты только объектам, имеющим учетные записи в каталоге • Использует шаблоны сертификатов • Stand-Alone CA • Не зависит от Active Directory • Может использоваться в качестве независимого центра сертификации для любых объектов

  22. Иерархия CA • Роли CA • Root CA • Корневой центр сертификации • Сертифицирует нижестоящие CA • Subordinate CA • Intermediate CA • Сертифицирует CA следующего уровня • Issuing CA • Выдает сертификаты пользователям • Certification Path • Указывается в сертификате

  23. Root CA Sub CA 4 Sub CA 1 Sub CA 2 Root CA Sub CA 3 Root CA Sub CA 2 Sub CA 3 User Иерархия CA Intermediate CA Issuing CA IssuingCA Certification Path IssuingCA

  24. CRL • Certificate Revocation List • Список отозванных сертификатов • Подписан Центром сертификации • Должен публиковаться и регулярно обновляться каждым CA • Active Directory • Web • Файловая система • Сертификат содержит список узлов публикации CRL

  25. Certificate Trust List • Список доверия • Аналог механизма кросс-сертификации • Список доверяемых корневых центров • Ограничения по режимам сертификата • Назначается в групповой политике

  26. Хранилища сертификатов • Физические хранилища • Active Directory • Реестр операционной системы клиента • Файловая система • Логические хранилища • Personal • Trusted Root Certification Authorities • Enterprise Trust • Intermediate Certification Authorities • Active Directory User Object • Software Publisher’s Certificate

  27. Структура хранилищ CryptoAPI CA Store My Store Trust Store UserDS Store Root Store Логические хранилища Default Store Provider Smart Card CSP LDAP Физические хранилища Smart Card Services

  28. Сертификатразрешено использовать в данном режиме. Тип сертификата Срок действия Сертификат действителен в данный момент. Root CA Sub CA 2 Sub CA 3 Списки CTL не запрещают использование сертификата для данной задачи. Запреты User Цифровая подпись CA, выдавшего сертификат, верна. Целостность Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities. Доверие Сертификат не был отозван. Легитимность Проверка сертификата 

  29. Root CA DC приложение с поддержкой PKI Инфраструктура открытого ключа

  30. Функции PKI • Аутентификация • Однозначная идентификация сущности, основанная на знании личного ключа • Локальная аутентификация • Удаленная аутентификация • Целостность • Гарантия того, что на пути следования от отправителя к адресату данные не были модифицированы • Конфиденциальность • Шифрование данных обеспечивает доступ к ним только тем, кто ими владеет и кому они предназначены

  31. Использование Windows 2000 PKI в сетевой среде

  32. Secure Channel • “Microsoft Unified Security Support Provider” • Secure Sockets Layer (SSL) 3.0 • Transport Layer Security (TLS) 1.0 • При установлении защищенного сеанса участники • Договариваются, какие криптографические алгоритмы будут использоваться в рамках сеанса • RSA – при обмене ключами • RC4 – для шифрования данных • Взаимно аутентифицируют друг друга с помощью сертификатов

  33. Смарт-карты • Микрочип, интегрированный в пластиковую карточку • Сертификат пользователя • Личный ключ пользователя • Идентификация владельца • Персональный идентификационный номер (PIN) • Поддержка Smart Cards в Windows 2000 • Gemplus • Schlumberger

  34. Аутентификация • Сертификат вместо пароля • Надежность аутентификации Kerberos зависит от качества паролей • PKINIT • Расширение Kerberos для интерактивной аутентификации с помощью Smart Card • Соответствие сертификата учетной записи домена • SSL/TLS, EAP-TLS • Возможна аутентификация пользователей, не имеющих учетных записей в домене

  35. IPSec • Защита данных на уровне сетевых пакетов • Прозрачно для приложений • Два уровня защиты • Обеспечение целостности пакета • Authentication Header (AH) • Шифрование данных, передаваемых в пакете • Encapsulating Security Payload (ESP) • Сертификаты открытых ключей • Один из режимов взаимной аутентификации узлов

More Related