ИНТЕРНЕТ МАГАЗИН: КНИГИ, электронные книги, на английском языке, софт — купить, заказать почтой, опт недорого, отзывы, форумы и общение друзей

ОГЛАВЛЕНИЕ
Сокращения, принятые в книге…………………………...…………………....3
Введение………………………………………………………………………....4
1. СЕРВИСЫ И МЕХАНИЗМЫ БЕЗОПАСНОСТИ……………………...…..9
1.1. Сервисы безопасности…….…………………………………………..9
1.2. Некриптографические механизмы безопасности……………..……11
1.3. Криптографические механизмы безопасности ..….………………..15
2. СТРУКТУРА, СЕРВИСЫ И АРХИТЕКТУРА PKI ...……………………..23
2.1. Основные подходы к реализации PKI ……………………………...23
2.2. Компоненты и сервисы инфраструктуры открытых ключей ….….32
2.3. Архитектура и топология PKI ………………………………………40
3. СТАНДАРТЫ И СПЕЦИФИКАЦИИ PKI ……………………………...…50
3.1. Стандарты в области PKI ……………………………………….…...50
3.2. Стандарты Internet X.509 PKI (PKIX) ……………………………....59
4. СТРУКТУРЫ ДАННЫХ PKI ……………….....……………………………70
4.1. Сертификаты открытых ключей X.509…….………………………..70
4.2. Списки аннулированных сертификатов ……………………...……..80
4.3. Атрибутные сертификаты …………………….………….………….86
5. ПОЛИТИКА PKI …………………………………………....…………….…89
5.1. Основные требования к политике PKI ……………………………...89
5.2. Политика применения сертификатов и регламент …………………91
5.3. Краткая характеристика политики PKI ……………………………..96
5.4. Набор положений политики PKI ………………………..……….….99
5.5. Проблемы формирования политики PKI ……………….……….…112
6. ПРОБЛЕМЫ И РИСКИ ТЕХНОЛОГИИ PKI ………………………….…129
6.1. Риски создания, распространения и принятия сертификатов …....130
6.2. Риски управления сертификатами………………………………….133
6.3. Проблемы аутентификации и секретности………………………...140
6.4. Правовые аспекты использования PKI……………………………..147
7. РАЗВЕРТЫВАНИЕ ИНФРАСТРУКТУРЫ ОТКРЫТЫХ КЛЮЧЕЙ.…..153
7.1. Предварительный этап………………………………………………153
7.2. Проектирование……………………………………………………...159
7.3.Создание прототипа, пилотный проект и внедрение……………....169
8. ПРОГРАММНЫЕ СРЕДСТВА ПОДДЕРЖКИ PKI……………………...171
8.1. Программное обеспечение PKI ведущих мировых
производителей…………………………………………………………..171
8.2. Программное обеспечение PKI российских компаний…………...198
Заключение…………………………………………………………………….212
Приложение 1. Набор положений политики PKI ………...……………...….214
Приложение 2. Сравнительная характеристика программных продуктов...220
Глоссарий ………..………………………………………………………….....225
Список использованной литературы………………………………………..239

Введение

Уже сейчас Интернет-технологии прочно вошли в жизнь общества и продолжают интегрироваться во все более важные сферы деятельности. Интернет, активно использующийся значительной частью мирового сообщества, в том числе и в коммерческих целях, широко применяется банками, финансово-инвестиционными структурами, участниками рынка ценных бумаг, финансовыми, торговыми и промышленными компаниями для организации электронного документооборота.
Бурное развитие сферы электронных услуг и электронной коммерции резко актуализировали проблему обеспечения информационной безопасности как в корпоративных сетях, так и в сетях общего пользования – Интернет. Как известно, решение этой проблемы достигается одновременным выполнением трех условий: доступности, целостности и конфиденциальности информационных ресурсов или, иными словами, обеспечением безопасности электронного документооборота. Устанавливая деловые контакты, стороны, субъекты информационных правоотношений, должны быть полностью уверены в "личности" партнеров, конфиденциальности обмена электронными документами и подлинности самих документов. Эти требования предъявляются как программно-аппаратным платформам (Windows, Macintosh, Unix), так и к различным типам клиентских и серверных приложений (web-сервер, web-клиент, почтовый сервер, сервер конференций, сервер каталогов, промежуточный агент). Сегодня уже существуют индустриальные решения этих задач на основе практического использования криптографических средств. При работе в Интернет и корпоративных сетях, они позволяют обеспечить процесс взаимной аутентификации, целостность и конфиденциальность данных, регламентировать доступ к информации ограниченного распространения.
После того как шифрование с открытыми ключами приобрело популярность, появилась потребность в цифровых сертификатах. Цифровой сертификат иногда называют цифровым паспортом или цифровым идентификатором "digital ID". Сертификат – цифровой эквивалент пропуска, паспорта или водительских прав. Сертификат и соответствующий ему секретный ключ позволяют идентифицировать их владельца всем, кому это необходимо. Универсальное применение сертификатов обеспечивает стандарт Международного Союза по телекоммуникациям Х.509, который является базовым и поддерживается целым рядом протоколов безопасности. В их числе – стандарты шифрования с открытыми ключами (PKCS), протокол связи SSL (Secure Sockets Layer Handshake Protocol) и безопасный протокол передачи гипертекстовых сообщений (Secure HTTP).
Стандарт Х.509 задает формат цифрового сертификата. Основными атрибутами сертификата являются имя и идентификатор субъекта, информация об открытом ключе субъекта, имя, идентификатор и цифровая подпись удостоверяющего центра, серийный номер, версия и срок действия сертификата, информация об алгоритме подписи и др. Важно, что цифровой сертификат содержит цифровую подпись на основе секретного ключа удостоверяющего центра. До недавнего времени не существовало общепризнанного русского аналога термина, который берет начало в области шифрования с открытыми ключами, – Certificate Authority (CA). Часто при переводе на русский язык термин интерпретировался совершенно по-разному: служба сертификации, уполномоченный по выпуску сертификатов, распорядитель сертификатов, орган выдачи сертификатов, доверенный центр, центр сертификации, сертификатор и т.д. Принятый в декабре 2001 года Закон РФ «Об электронной цифровой подписи» изменил это положение дел и закрепил за организацией, выдающей сертификаты открытых ключей, новое название – удостоверяющий центр. Подлинность сертификата можно проверить с помощью открытого ключа удостоверяющего центра.
Цифровые сертификаты позволяют идентифицировать и регистрировать пользователей без передачи их имен и паролей в открытом виде. Идентификация необходима для контроля доступа. Цифровые сертификаты защищают конфиденциальные документы от несанкционированного доступа. Кроме того, в связи с широким распространением электронной почты, систем межбанковских расчетов, электронной коммерции появляются возможности подделки или изменения сообщений и документов, которыми обмениваются сотрудники компаний или партнеры по бизнесу. Только надежная система идентификации может практически исключить подобные злоупотребления. Цифровые сертификаты являются необходимым элементом для создания защищенной системы обмена сообщениями. Сертификаты лишают злоумышленника возможности использовать фальшивый ключ и выдавать себя за другое лицо; серверы сертификатов защищенным образом выпускают, хранят и обрабатывают сертификаты.
Однако одного наличия сертификата недостаточно. Действительно защищенный обмен сообщениями, надежная идентификация и электронная коммерция невозможны без инфраструктуры открытых ключей – Public Key Infrastucture (PKI). PKI служит не только для создания цифровых сертификатов, но и обеспечивает хранение огромного количества сертификатов и ключей, резервное копирование, восстановление и депонирование ключей, взаимную сертификацию, ведение списков аннулированных сертификатов и автоматическое обновление ключей и сертификатов после истечения срока их действия. Использование технологии PKI позволяет компаниям предоставлять дифференцированные и безопасные электронные услуги, выполнять важные транзакции в интерактивном режиме, обеспечивать конфиденциальность связи через Интернет, защищать порталы экстранет и интранет.
PKI является комплексом аппаратных и программных средств, политик и процедур. Продукты и услуги, входящие в инфраструктуру открытых ключей, предлагаются на рынке целым рядом компаний. Большинство компаний, начинающих использовать технологию PKI, из двух путей выбирают один: они либо создают собственный орган выдачи сертификатов, либо предоставляют это сделать другим компаниям, специализирующимся на услугах PKI, например VeriSign, Digital Signature Trust и др.
В последнее время в развитых странах банки, университеты, правительственные учреждения начали выдавать сотрудникам цифровые сертификаты, которые позволяют отдельным лицам шифровать сообщения электронной почты и электронные документы,
а также снабжать их цифровой подписью. По прогнозам специалистов, в течение ближайших нескольких лет на рынке систем безопасности ожидаются высокие темпы роста сферы услуг по развертыванию PKI, основная причина — большой потенциал технологии PKI. Инфраструктура открытых ключей необходима организациям
и компаниям для безопасного обмена электронными документами
и ведения бизнеса, требующего гарантированной защиты электронных транзакций и доступа к данным через Интернет. Поставщики электронных услуг (банковских, нотариальных, страховых, торговых и т.п.) должны удостовериться в подлинности стороны, участвующей в сделке, обеспечить целостность и конфиденциальность отправляемой через Интернет информации, а также подтвердить успешное выполнение транзакции. Пользователям необходимо иметь возможность при коммуникации однозначно и надежно связывать цифровой сертификат с уникальным физическим лицом. PKI предоставляет инфраструктуру безопасности, позволяющую реализовать эти критически важные функции и обеспечить участникам электронного документооборота такой уровень защищенности, который необходим незнакомым друг с другом сторонам для обмена информацией и безопасного выполнения транзакций через Интернет.
В первой главе описываются сервисы безопасности распределенных систем и анализируются возможности разных механизмов безопасности.
Вторая глава посвящена анализу основных подходов к реализации PKI и особенностей архитектуры инфраструктур открытых ключей, в ней описываются компоненты и сервисы эффективной PKI.
В третьей главе предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей, описываются особенности терминологии, концепции инфраструктуры открытых ключей PKIX.
Четвертая глава подробно знакомит со структурами данных PKI, таблично представлены форматы сертификатов и списков аннулированных сертификатов.
Пятая глава обобщает сведения о структуре и содержании основных документов, описывающих политику PKI, в этой главе обсуждаются проблемы и трудности формирования политики применения сертификатов, регламента и проектирования инфраструктуры открытых ключей.
В шестой главе анализируются риски создания, распространения и принятия сертификатов и риски управления сертификатами, рассматриваются основные факторы, влияющие на операционный, стратегический риски и риск утраты репутации удостоверяющих центров. Отдельные разделы этой главы посвящены проблемам аутентификации и секретности в системах PKI, а также правовым аспектам использования цифровых сертификатов.
В седьмой главе предлагается план работ по развертыванию PKI, описываются особенности проектирования в зависимости от потребностей ведения бизнеса и требований безопасности конкретной организации.
В восьмой главе приводятся результаты анализа программных продуктов ведущих мировых и российских компаний-производителей программного обеспечения и особенностей их применения для практической реализации PKI.