Управление ключами

Инфраструктура открытых ключей (PKI)

Инфраструктура открытых ключей (PKI - Public Key Infrastructures) - модель для создания, распределения и аннулирования сертификатов, основанная на рекомендации X.509. Группа инженерной поддержки сети Интернет (IETF - Internet Engineering Task Force) создала Инфраструктуру общедоступного ключа X.509 (TKIX).

Режимы работы

Для PKI были определены несколько режимов работы. Самые важные из них показаны на рис. 5.19.

Рис. 5.19. Некоторые режимы PKI

• Выпуск, возобновление и аннулирование сертификатов. Эти режимы работы были определены в X.509. Поскольку PKIX базируется на X.509, он должен обработать все режимы работы, имеющие отношение к сертификатам.
• Хранение и модификация ключей. PKI должен быть местом хранения секретных ключей для тех участников, у которых есть необходимость держать свои секретные ключи где-нибудь в сейфе. В дополнение к этому PKI несет ответственность за обновление этих ключей по запросу участников.
• Обеспечение услуг другим протоколам. Как мы увидим в следующих немногих лекциях, некоторые протоколы безопасности Internet, такие как IPSec и TLS, базируются на услугах PKI.
• Обеспечение управления доступом. PKI может обеспечить различные уровни доступа к информации, сохраненной в ее базе данных. Например, организация PKI может обеспечить доступ к полной базе данных для высшего исполнительного руководства, но ограниченный доступ - для служащих.

Модель доверия

Невозможно иметь только один центр сертификации, выпускающий все сертификаты для всех пользователей в мире. Должно быть много центров сертификации (CA), каждый - ответственный за создание, сохранение, издание и аннулирование ограниченного числа сертификатов. Модель доверия (Trust Model) определяет правила, которые говорят, как пользователь может проверить сертификат, полученный от Центра Сертификации (CA).

Иерархическая модель. У этой модели - структура типа дерева с корнем CA. Корень CA имеет сертификат, подписанный и выпущенный им самим. Другим CA и пользователям для того, чтобы работать, необходимо доверять ему. рис. 5.20 показывает модель доверия такого вида с тремя иерархическими уровнями. В реальной ситуации число уровней может быть больше, чем три.

увеличить изображение
Рис. 5.20. Иерархическая модель PKI

Рисунок показывает, что CA (корень) подписывает сертификаты для CA1, CA2 с CA3; CA1 подписывают сертификаты для Польз.1, Польз. 2, Польз. 3 и так далее. PKI использует особую систему обозначений, которая означает: сертификат выдан администрацией X для объекта Y.

Пример 5.3

Показать, как Польз. 1, зная только общедоступный ключ CA (корень), может получить верифицированную копию общедоступного ключа Польз. 3.

Решение

Пользователь 3 передает сертификат по цепочке CA "CA1" и CA1 "Польз. 3", к Польз. 3.

• Польз.1 подтверждает CA "CA1", используя общедоступный ключ CA.
• Польз.1 извлекает общедоступный ключ CA1 от CA "CA1".
• Польз.1 подтверждаетCA"Польз. 3", используя общедоступный ключ CA1.
• Польз.1извлекает общедоступный ключ Польз. 3 из CA "Польз. 3".

Пример 5.4

Некоторые Web-браузеры, такие как Netscape и Internet Explorer, содержат множество сертификатов, полученных от независимых Центров сертификации (корней) без единственного корня высокого уровня администрации, который мог бы сертифицировать каждый корень. Можно найти список этих корней в Internet Explorer по следующему маршруту: Инструментальные средства / Опции Интернета / Содержание, Сертификат / Корень доверия (используя "раскрывающиеся строки"). Пользователь тогда может выбрать любой корень и ознакомиться с его сертификатом.

Модель "каждый с каждым".Иерархическая модель может работать для организации или маленькой группы людей. Большие группы, возможно, нуждаются в нескольких иерархических структурах, соединенных вместе. Один из методов состоит в том, чтобы использовать модель "каждый с каждым" для соединения корней вместе. В этой модели каждый корень связан с каждым другим корнем, как это показано на рис. 5.21.

Рис. 5.21. Модель "каждый с каждым"

Рис.5.21 показывает, что структура "каждый с каждым" соединяет вместе только корни; каждый корень имеет свою собственную иерархическую структуру, изображенную треугольником. Сертификация между корнями - перекрестные сертификаты; каждый корень сертифицирует все другие корни, что означает, что есть N (N - 1) сертификатов. На рис. 5.21 - 4 узла, так что надо 4 x 3 = 12 удостоверений. Обратите внимание, что каждая линия имеет двойную стрелку и представляет два сертификата.

Пример 5.5

Алиса имеет дело с администрацией Root 1; Боб имеет дело с администрацией Root 4. Показать, как Алиса может получить верифицированный общедоступный ключ Боба.

Решение

Боб передает цепочку сертификатов от Root 4 к Бобу. Алиса смотрит каталог Root 1, чтобы найти Root 1 сертификаты "Root 1" и Root 1 "Root 4". Используя процесс, показанный на рис. 5.21, Алиса может верифицировать общедоступный ключ Боба.

Сеть доверия. Эта модель, которая используется в PGP (Pretty Good Privacy - очень хорошая конфиденциальность), службе безопасности для электронной почты, рассматривается в "Безопасность на прикладном уровне: PGP и S/MIME" .

5.5. Рекомендованная литература

Для более детального изучения положений, обсужденных в этой лекции, мы рекомендуем нижеследующие книги и сайты. Пункты, указанные в скобках, показаны в списке ссылок в конце книги.

Книги

Управление симметричными и асимметричными ключами рассматривается в [Sti06], [KPS02], [Sta06], [Rhe03] и [PHS03].

Сайты

Нижеследующие сайты дают больше информации о темах, обсужденных в этой лекции.

• http://en.wikipedia.org/wiki/Needham-Schroeder
• http://en.wikipedia.org/wiki/Otway-Rees
• http://en.wikipedia.org/wiki/Kerbero s_%28protocol%29
• en.wikipedia.org/wiki/Diffie-Hellman
• www.ietf.org/rfc/rfc2631 .txt

5.6. Итоги

• Для работы в криптографии с симметричными ключами необходимы два общедоступных ключа засекречивания (по одному каждой стороне). Если N людей связались друг с другом, необходимы N (N - 1)/2 ключей. Число ключей - не единственная проблема; другая проблема - это распределение ключей.
• Практическое решение распределения ключей - использование третьего лица, которому доверяют, называемого Центром распределения ключей (KDC). KDC может создать ключ сеанса (временный) между Алисой и Бобом, используя их ключи связи с центром. Ключи Алисы и Боба используются, чтобы подтвердить центру подлинность Алисы и Боба.
• Были предложены несколько различных подходов для создания ключей сеанса, которые используют идеи, рассмотренные в "Установление подлинности объекта" для установления подлинности объекта. Два из самых изящных - Протокол Ниидома-Шрёдера, который является основой для многих других протоколов, и Протокол Отвея-Рисса.
• Цербер является и опознавательным протоколом, и KDC. Несколько систем, включая Windows 2000, используют Цербер. В протоколе Цербер участвуют три сервера: опознавательный сервер (AS) , сервер, предоставляющий билет (TGS), и реальный сервер данных.
• Алиса и Боб могут создать ключ сеанса между собой, не используя KDC. Этот метод создания ключа сеанса называется соглашением с симметричным ключом. Мы рассмотрели два метода: Диффи-Хеллмана и "от станции к станции". Первый чувствителен к атаке "посредника" ; второй - нет.
• Открытые ключи, подобно секретным ключам, должны быть распределены для использования. Администрация по сертификации (CA) обеспечивает сертификатами как доказательством собственности общедоступного ключа. X.509 - рекомендация, которая определяет структуру сертификата.
• Инфраструктура открытого ключа (PKI) - модель для создания, распределения и аннулирования удостоверений, основанных на рекомендации X.509. Группа Инженерной Поддержки Интернет (IETF) создала Инфраструктуру Открытого ключа X.509 (PKIX). Режимы работы PKI включают издание сертификатов, хранение секретного ключа, услуги в соответствии с другими протоколам и управление доступом.
• PKI также определяет модели доверия, отношения между администрациями, выдающими сертификаты. Три модели доверия, рассмотренные в этой лекции, являются иерархическими, "каждый с каждым", и сетью доверия.

5.7. Набор для практики

Обзорные вопросы

1. Перечислите режимы работы KDC.
2. Дайте определение ключа сеанса и покажите, как KDC может создать ключ сеанса между Алисой и Бобом.
3. Дайте определение протокола Цербер и назовите его серверы. Кратко объясните режимы работы каждого сервера.
4. Дайте определение протокола Диффи-Хеллмана и его цель.
5. Дайте определение атаки "посредника".
6. Дайте определение протокола "от станции к станции" и объясните его цель.
7. Дайте определение центра сертификации (CA) и расскажите о его отношении к криптографии общедоступного ключа.
8. Дайте определение рекомендации X.509 и разъясните ее цель.
9. Перечислите режимы работы PKI.
10. Дайте определение модели доверия и рассмотрите некоторые варианты этой модели, которые обсуждались в этой лекции.

Упражнения

1. На рис. 5.4: что случится, если билет для Боба будет зашифрован не на шаге 2 с ключом K_B, но зашифрован вместо этого K_AB на шаге 3?
2. Почему нужны четыре nonce в протоколе Ниидома-Шрёдера?
3. Как KDC в протоколе Ниидома-Шрёдера аутентифицирует (удостоверяет) Алису? Как KDC аутентифицирует (удостоверяет) Боба? Как Алиса аутентифицирует (удостоверяет) Боба? Как Боб аутентифицирует (удостоверяет) Алису?
4. Объясните, почему в протоколе Ниидома-Шрёдера Алиса - сторона, которая находится в контакте с KDC, а в протоколе Отвея-Рисса Боб-сторона, которая находится в контакте с KDC.
5. В протоколе Ниидома-Шрёдера есть четыре ( R_A, R_B, R₁ и R₂ ), а в протоколе Отвея-Рисса - только три nonce (R_A, R_B и R). Объясните, почему есть потребность в одном дополнительном nonce R₂ в первом протоколе.
6. Почему мы нуждаемся только в одной метке времени в протоколе Цербер вместо четырех nonce, как в протоколе Ниидома-Шрёдера, или трех once, как в протоколе Отвея-Рисса?
7. В протоколе Диффи-Хеллмана g = 7, p = 23, x = 3, и y = 5.
   • Какое значение имеет симметричный ключ?
   • Какие значения имеют R₁ и R₂?
8. Что случится в протоколе Диффи-Хеллмана,если x и y имеют одно и то же значение, то есть Алиса и Боб случайно выбрали одно и то же число? R₁ и R₂ те же самые? Ключи сеанса, вычисленные Алисой и Бобом, имеют одно и то же значение? Приведите пример, чтобы доказать ваши выводы.
9. При тривиальной (не гарантирующей безопасность) смене ключа Диффи-Хеллмана p = 53. Найдите соответствующее значение для g.
10. В протоколе "от станции к станции" покажите, что если опознавательный код приемника удален из подписи, протокол становится уязвимым к атаке "посредника".
11. Обсудите заслуживающий доверия корень сертификации, применяющий браузеры.