Інфраструктура відкритих ключів

[Слайд №2]: Інфраструктура відкритих ключів (ІВК, англ. PKI - Public Key Infrastructure) — набір засобів (технічних, матеріальних, людських і т. д.), розрізнених служб і компонентів, спільно використовуваних для підтримки криптозадач на основі закритого та відкритого ключів.

[Слайд №3]: В основі PKI лежить використання криптографічної системи з відкритим ключом і кілька основних принципів:

• закритий ключ (приватний ключ) відомий тільки його власнику;
• центр сертифікації ключів (ЦСК або CA - Certificate Authority) створює електронний документ — сертифікат відкритого ключа, таким чином підтверджуючи факт того, що закритий (секретний) ключ відомий ексклюзивно власнику цього сертифіката, відкритий ключ (public key) вільно передається;
• ніхто не довіряє один одному, але все довіряють центру сертифікації ключів;
• центр сертифікації ключів підтверджує або перевіряє приналежність відкритого ключа заданій особи, яка володіє відповідним закритим ключем.

[Слайд №4]: Історія. Початок асиметричним шифрам було покладено у роботі «Нові напрямки у сучасній криптографії» Вітфілда Діффі та Мартіна Хеллмана, опублікованій у 1976 році. Перебуваючи під впливом роботи Ральфа Меркле про поширення відкритого ключа, вони запропонували метод отримання секретних ключів, використовуючи відкритий канал.

[Слайд №5]: Цей метод експонентного обміну ключів, який став відомий як обмін ключами Діффі - Хеллмана, був першим опублікованим практичним методом для встановлення поділу секретного ключа між завіреними користувачами каналу. У 2002 році Хеллман запропонував називати даний алгоритм "Діффі - Хеллмана - Меркле", визнаючи внесок Меркле у винахід криптографії з відкритим ключем. Ця ж схема була розроблена Малькольмом Вільямсоном в 1970-х, але трималася в секреті до 1997 р. Метод Меркле з поширення відкритого ключа був винайдений в 1974 і опублікований в 1978, його також називають загадкою Меркле.

[Слайд №6]: У 1977 році вченими Рональдом Рівестом, Аді Шаміром та Леонардом Адлеманом з Массачусетського технологічного інституту було розроблено алгоритм шифрування, заснований на проблемі про розкладання на множники. Система була названа за першими літерами їхніх прізвищ (RSA - Rivest, Shamir, Adleman).

[Слайд №7]: Ця ж система була винайдена в 1973 Кліффорд Коксом, що працював у центрі урядового зв'язку (GCHQ), але ця робота зберігалася лише у внутрішніх документах центру, тому про її існування було невідомо до 1977 року. RSA став першим алгоритмом, придатним і для шифрування, і для електронного підпису.

[Слайд №8]: Основні компоненти PKI:

• [Слайд №9]: Центр сертифікації ключів (ЦСК або CA - Certificate Authority) є основною структурою, що формує цифрові сертифікати підпорядкованих центрів сертифікації і кінцевих користувачів. ЦСК є головним компонентом PKI:

• він є довіреною третьою стороною
• це сервер, який здійснює управління життєвим циклом сертифікатів (але не їх безпосереднім використанням).

• [Слайд №10]: Сертифікат відкритого ключа (найчастіше просто сертифікат) – це дані користувача/сервера та його відкритий ключ, скріплені електронним підписом центру сертифікації. Випускаючи сертифікат відкритого ключа, ЦСК, тим самим підтверджує, що особа, названа в сертифікаті, має закритий ключ, який відповідає цьому відкритому ключу.
• [Слайд №11]: Центр реєстрації – необов'язковий компонент системи, призначений для реєстрації користувачів. ЦСК довіряє реєстраційному центру перевірку інформації про суб'єкт. Реєстраційний центр, перевіривши правильність інформації, підписує її своїм ключем і передає ЦСК, який, перевіривши ключ реєстраційного центру, виписує сертифікат. Один реєстраційний центр може працювати з кількома ЦСК (тобто перебувати в декількох PKI), один ЦСК, може працювати з кількома реєстраційними центрами. Іноді ЦСК виконує функції реєстраційного центру.
• [Слайд №12]: Репозиторій – сховище, що містить сертифікати та списки відкликаних сертифікатів (СВС) та служить для розповсюдження цих об'єктів серед користувачів.
• Архів сертифікатів — сховище всіх виданих коли-небудь сертифікатів (включаючи сертифікати з терміном дії, що закінчився). Архів використовується для перевірки автентичності електронного підпису, яким засвідчувалися документи.
• Центр запитів — необов'язковий компонент системи, де користувачі можуть запросити або відкликати сертифікат.
• Кінцеві користувачі — це користувачі, програми або системи, які є власниками сертифіката та використовують інфраструктуру керування відкритими ключами.

[Слайд №13]: Основні завдання системи інформаційної безпеки, які вирішує інфраструктура управління відкритими ключами:

• забезпечення конфіденційності інформації;
• забезпечення цілісності інформації;
• забезпечення аутентифікації користувачів та ресурсів, до яких звертаються користувачі;
• забезпечення можливості підтвердження вчинених користувачами дій з інформацією (невідмовність).

[Слайд №14]: Основна ідея:

Спрощено, PKI є системою, основним компонентом якої є ЦСК і користувачі, що взаємодіють між собою використовуючи сертифікати, видані цим центром. Діяльність інфраструктури управління відкритими ключами здійснюється на основі регламенту системи. Інфраструктура відкритих ключів ґрунтується на використанні принципів криптографічної системи з відкритим ключем. Інфраструктура управління відкритими ключами складається з центру сертифікації, кінцевих користувачів та опціональних компонентів: центру реєстрації та мережевого довідника.