Опубликован: 15.11.2006 | Уровень: специалист | Доступ: платный | ВУЗ: Национальный исследовательский ядерный университет «МИФИ»
Лекция 21:

Проблемы реализации PKI

< Лекция 20 || Лекция 21: 123456789
Аннотация: Описывается процесс подготовки PKI к работе, подробно рассматривается управление сертификатами и ключами, обсуждаются способы реагирования на инциденты во время функционирования PKI, описываются подходы к решению проблем интеграции и обеспечения работы приложений, дается представление о проблемах предоставления услуг репозитория, выполняется сравнительный анализ структуры стоимости установки и поддержки типичной системы PKI для вариантов инсорсинга и аутсорсинга.
Ключевые слова: PKI, принятия решений, управление сертификатами, инсорсинг, удостоверяющий центр, регистрация и аутентификация пользователей, идентичность субъекта, сертификат открытого ключа, субъект сертификата, управление списками САС, обновление сертификатов и ключей, статус сертификата, генерация ключей, хранение секретных ключей, сервис аутентификации, выпуск сертификатов, регистрационная информация, сертификат ключа подписи, сертификаты пользователей, период действия, доступ к ключам, микрочип, аннулирование, OCSP, кросс-сертификация, публикация САС, операционные риски, распространение ключей, сервер восстановления ключей, домен доверия, депонирование, план реагирования на катастрофы, интеграция, сильная аутентификация, биометрия, инфраструктуры открытых ключей, виртуальные частные сети, Web-приложения, программные средства, пользователя процесса, верификация цифровой подписи, IKE, CAPI, cryptographic application, PKCS, мейнфрейм, программное обеспечение промежуточного слоя, функциональная совместимость, сертификат SPKI, PGP, OASIS, SAML, профиль сертификата, репозиторий, отношение, опыт, упрощенный протокол доступа к каталогу ldap, DAP, стоимость pki, инфраструктура безопасности, Амортизация, аутсорсинг, расходы, программное обеспечение, информационные технологии, total, TCO, инфраструктура, инструментарий

Проблемы реализации

Хотя варианты реализации PKI могут отличаться компонентами и деталями, существуют некоторые главные критерии принятия решений:

  • назначение PKI;
  • время, необходимое для подготовки к функционированию PKI;
  • возможность контроля среды пользователей;
  • экспертиза во время и после развертывания;
  • финансовые возможности.

Тремя ключевыми областями реализации PKI являются [105]:

  1. подготовка системы PKI к работе;
  2. управление сертификатами и ключами;
  3. реагирование на инциденты во время функционирования PKI.

Подготовка системы PKI к работе

На этапе подготовки системы PKI к работе выполняется установка программного и аппаратного обеспечения УЦ/РЦ, клиентских средств пользователей, а также регистрация и идентификация пользователей для получения сертификатов.

Подготовка системы PKI к работе зависит от выбранной модели развертывания: аутсорсинга или инсорсинга. Как известно, в модели аутсорсинга главные функции УЦ контролируются третьей доверенной стороной. Простейшие аутсорсинговые сервисы обеспечивают доступ ко всем функциям управления жизненным циклом сертификатов через web-страницу и Интернет-соединение, не требуя от организации установки специального аппаратного и программного обеспечения.

В модели инсорсинга функции PKI выполняются под контролем организации, а корневой УЦ, подчиненные удостоверяющие центры и сертификаты создаются внутри корпоративного домена. Это обеспечивает большую гибкость, но предъявляет более строгие требования к уровню безопасности процедур выпуска и хранения корневого сертификата.

Частью процесса подготовки к работе является регистрация пользователей для получения сертификатов. Организация должна решить, какая информация достаточна для аутентификации пользователя. Существуют два основных метода аутентификации:

  1. на основе персональной информации (известной только РЦ и пользователю);
  2. через схему парольного кода, когда секретный код генерируется до начала регистрации и доставляется субъекту для выполнения процедуры регистрации.

В крупных организациях возникает проблема регистрации большого количества субъектов. Каждый пользователь может проходить регистрацию 2-3 раза в год, если ему необходимо иметь несколько сертификатов. Регистрация вручную, когда каждый запрос попадает в очередь к администратору РЦ, а затем принимается или отвергается, обеспечивает больший контроль, но достаточно трудоемка. Автоматизация процедур сравнения информации, предоставляемой пользователем в процессе регистрации, и информации, хранимой в надежной базе данных, упрощает регистрацию, поэтому для масштабных проектов рекомендуется автоматическая регистрация, хотя она является менее управляемой.

Процесс регистрации конечных субъектов включает два важных шага: обработку запроса на сертификат и аутентификацию субъекта. Для установления идентичности субъекта используются обычные вопросы об имени и адресе заявителя. Требования к персональным данным заявителя зависят от типа запрашиваемого сертификата. В одних случаях для принятия решения о выпуске сертификата открытого ключа достаточно информации, присланной субъектом по электронной почте, в других случаях, когда владелец сертификата наделяется особыми полномочиями, необходимо личное присутствие заявителя и предъявление документов, подтверждающих его личность. Если УЦ создается для служащих одной организации, то от заявителя может потребоваться только обоснование своего запроса на сертификат, так как персональные данные всех служащих имеются в отделе кадров.

Аутентификация субъекта сертификата предполагает подтверждение персональных данных, предоставляемых заявителем при обращении в регистрационный или удостоверяющий центр с запросом о выдаче сертификата. Тщательность проверки идентичности субъекта определяется типом запрашиваемого сертификата. Обычно взаимодействие между заявителем и центром строится на основе соглашения с подписчиком, закрепленного регламентом УЦ. Соглашение может содержать пункты, предусматривающие включение в цену сертификата или предоставление за отдельную плату больших гарантий защиты и дополнительного страхования ущерба.

< Лекция 20 || Лекция 21: 123456789
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
Константин Нестеренко
Константин Нестеренко
Россия, Волгоград