Обеспечение безопасности WebSphere MQ
В алгоритмах с открытыми ключами применяется пара ключей: открытый ключ и секретный или личный ключ (private key), известный только его владельцу. В отличие от секретного ключа, который должен сохраняться в тайне, открытый ключ может распространяться по сети. Секретный ключ в криптографии с открытыми ключами используется для формирования электронной подписи и расшифровывания данных. Криптография с открытыми ключами обеспечивает все требования, предъявляемые к криптографическим системам. Но реализация этих алгоритмов требует больших затрат процессорного времени.
Криптография с открытыми ключами в мировой практике обычно не применяется. Для шифрования данных используются симметричные (сеансовые) ключи, которые в свою очередь шифруются с использованием открытых для передачи сеансовых ключей по сети. При этом алгоритмы шифрования и расшифровывания могут быть известны, но секретный и личный ключи должны храниться в тайне. Асимметричный алгоритм более медленный, но в нем нет проблемы передачи ключа. Необходимо помнить, что силу алгоритма шифрования обеспечивает длина ключа. Асимметричный алгоритм требует больших ключей, например, считается, что при длине ключа
512 бит алгоритм шифрования слабый;
788 бит алгоритм шифрования средний;
1024 бит алгоритм шифрования сильный.
Криптография с открытыми ключами требует наличия инфраструктуры открытых ключей ( PKI - Public Key Infrastructure ) - неотъемлемого сервиса для управления электронными сертификатами и ключами пользователей, прикладного обеспечения и систем.
Инфраструктура управления открытыми ключами - это современная система управления криптографической защитой, в том числе и в агрессивной среде, например Интернет. Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят: защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью ( ЭЦП ).
Public Key Cryptography Standarts ( PKCS ) это стандарты криптографии с открытым ключом, разработанные компанией RSA Security. Наиболее известными стандартами PKCS являются:
- PKCS#7 - стандарт, определяющий формат и синтаксис криптографических сообщений. Электронный документ, оформленный с соблюдением требований PKCS#7 Signed, является электронным документом, содержащим электронную цифровую подпись ;
- PKCS#10 - стандарт, определяющий формат и синтаксис запроса на сертификат открытого ключа подписи. Электронный документ, оформленный с соблюдением требований PKCS#10, содержит информацию о сертифицируемом открытом ключе, используемом криптографическом средстве и данные, необходимые для идентификации владельца сертифицируемого открытого ключа электронной цифровой подписи.
Непосредственное применение открытых ключей требует дополнительной их защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может представить себя как отправителем подписанных данных, так и получателем зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию. Все это приводит к необходимости верификации открытого ключа. Для этих целей используется цифровой сертификат. Цифровой сертификат представляет собой документ, который связывает открытый ключ с определенным пользователем или приложением. Цифровой сертификат для индивидуального пользователя называется персональным или пользовательским сертификатом.
Для заверения цифрового сертификата используется ЭЦП удостоверяющего центра сертификации (CA - Certificate Authority). Исходя из функций, которые выполняет удостоверяющий центр (УЦ), его можно отнести к основным компонентам инфраструктуры открытых ключей. Применяя открытый ключ УЦ, каждый пользователь может проверить достоверность электронного сертификата, выпущенного УЦ, и обратиться к его содержимому.
Доверие к любому сертификату пользователя определяется на основе цепочки сертификатов. Начальным элементом цепочки является корневой сертификат УЦ (Root CA), хранящийся в защищенном персональном справочнике пользователя. Процедура верификации цепочки сертификатов проверяет связанность между именем владельца сертификата и его открытым ключом. Процедура верификации цепочки подразумевает, что все "правильные" цепочки начинаются с сертификатов, изданных одним доверенным центром сертификации. Под доверенным центром понимается главный УЦ, открытый ключ которого содержится в самоподписанном сертификате. Такое ограничение упрощает процедуру верификации, хотя наличие самоподписанного сертификата и его криптографическая проверка не дают гарантии на безопасность. Для обеспечения доверия к открытому ключу такого сертификата должны быть применены специальные способы его распространения и хранения, так как на данном открытом ключе проверяются все остальные сертификаты.
Следует отметить, что инфраструктура открытых ключей ( PKI ) предусматривает взаимодействие с УЦ, регистрирующим центром (RA - Registration Authority), хранилищем сертификатов, сервером восстановления ключей и конечным пользователем. УЦ применяют хранилища и каталоги сертификатов, при этом наиболее популярен облегченный протокол службы каталогов LDAP (Lightweight Directory Access Protocol).
SSL ( Secure Sockets Layer ) протокол обеспечивает аутентификацию, шифрование и целостность передачи информации и широко применяется для Интернет и интранет - приложений. Именно поэтому он используется для защиты сообщений в WebSphere MQ версии 5.3.