Download presentation
Presentation is loading. Please wait.
1
زير ساخت كليد عمومي و گواهي هويت
2
اهداف تبيين مشکلات مديريت کليد
ارايه زيرساخت کليد عمومي به عنوان راه حل بيان مفاهيم مربوط به گواهي ها و مولفه ها و معماريهاي متفاوت زيرساخت کليد عمومي
3
مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
4
براي ديدن معادل انگليسي ترجمه ها به اسلايد لغت نامه مراجعه نماييد.
کليد واژه ها:
5
مفاهيم وکليات زير ساخت كليد عمومي
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
6
مساله توزيع کليد عمومي 1 با استفاده از رمزنگاریي کليد عمومي تا حد زيادي مشکلات توزيع کليد (خصوصي) را حل شده است اما... فرض کنيد Scott يک زوج کليد عمومي وخصوصي تهيه کند و سريعاً کليد عمومي را به همگان تحت عنوان کليد عمومي Bill معرفي کند اطلاعات محرمانه براي Bill با اين کليد رمز ميشود نه تنها Bill به اين اطلاعات دسترسي ندارد، بلکه Scott با داشتن کليد خصوصي متناظر ميتواند به اطلاعات محرمانه Bill دسترسي پيدا نمايد.
7
راه حل توزيع کليد براي حل اين مساله و ساير مسايل مرتبط با مديريت کليد از زير ساخت كليد عمومي (PKI) و گواهي بهره ميبريم.
8
زير ساخت كليد عمومي (PKI)
توليد کليد توليد، ابطال و تاييد گواهي اعتماد سازي بين اشخاص
9
زير ساخت كليد عمومي (PKI)
(A. Nash, RSA Press)
10
مفاهيم وکليات زير ساخت كليد عمومي
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
11
گواهي مستند رسمي براي تضمين تعلق شناسه به كليد است.
گواهي (Certificate) گواهي مستند رسمي براي تضمين تعلق شناسه به كليد است. گواهي ميتواند شامل اطلاعات مربوط به: کليد شناسه صاحب کليد نوع کاربرد کليد دوره اعتبار سند اطلاعاتي که مي تواند براي بررسي صحت شناسه و كليد استفاده شود
12
چگونه به يک گواهي اعتماد کنيم؟
براي اينکه به يگ گواهي اعتماد کنيم اين گواهي بايد توسط شخصي که مورد اعتماد ماست امضاء شده باشد. مبناي ايجاد اعتماد سراسري وجود يک شخص ثالث مورد اعتماد همگان ميباشد. اين شخص را مرجع صدور گواهي CA ميناميم
13
مدل اعتماد مرجع صدور گواهي + مسير تصديق گواهي
همگان به يک مرجع صدور گواهي مبنا (root CA) اعتماد دارند ( به عنوان مثال Verisign, Thawte, Entrust, BT,… پیوست) فرض کنيد کليد عمومي CA با حفظ امنيت در ميان تمام کاربران منتشر ميشود. به عنوان مثال: با روشهای فیزیکی، درج در اخبار ... امکان پذیر است زیرا این کار تنها برای یک نقطه انجام میشود.
14
مدل اعتماد CA کليد عمومي شخص به طور ديجيتالي امضاء ميکند.
علاوه بر کلید اطلاعات جانبی نیز درج میشوند. برای صدور گواهی باید هويت کاربر برای CA احراز شود. CA ميتواند نقاط ديگري را نيز به عنوان مراجع صدور گواهي منصوب نمايد.
15
ویژگیهای گواهی کلید عمومی
جامعيت گواهي به راحتي قابل كنترل است. هر تغييري در آن به سادگي كنترل ميشود. نیازی به رمزگذاری در ارسال و یا ذخيره گواهي نیست. براي خواندن محتواي گواهي به كليد عمومي CA نياز داريم.
16
گواهي X.509 محصول ITU-T و بخشي از توصيههاي سري X.500
گواهي X.509 در S/MIME، IPSec، SSL/TLS،و SET استفاده شده است.
17
گواهي X.509 :CA << A >> به معناي صدور گواهی براي كاربر A توسط مرجع CAاست. همه كاربران در محدودة يك CA: وجود اعتماد مشترك و امكان بازبيني (بررسی صحت) گواهي صادره.
18
نماي کلي X.509
19
نسخه هاي پياپي X.509 Version 1 Version 2 Version 3 All Versions
Certificate Serial Number Signature Algorithm Identifier Algorithm Parameters Issuer Name Period of Validity Not Before Not After Subject Name Subject’s Public Key Info Algorithms Parameters Key Issuer Unique Name Subject Unique Name All Versions Extensions Algorithms Signature Parameters Encrypted
20
مثالی از گواهی کلید عمومی
21
نحوه بازبيني يک گواهي به طور اساسي، بازبيني گواهي عبارتست از بررسي صحت امضاء ديجيتال فرض : کليد عمومي CA مورد اعتماد کاربر با حفظ امنيت منتشر شده است. به بيان ديگر يک کليد عمومي مورد اعتماد در اختيار ميباشد. حال بايد صحت امضاء CA بر روي گواهي را بررسي کنيم. در برخي موارد که کاربر CA را نميشناسد بايد زنجيره گواهيها را بپيمايد تا به ورجع صدور گواهي مبنا برسد. همچنين بسته به کاربرد و زمان، بايد ساير ميدانهاي يک گواهي را نيز بررسي کنيم.
22
استفاده از گواهي براي كنترل درستي امضاء
23
مفاهيم وکليات زير ساخت كليد عمومي
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
24
وظايف زير ساخت کليد عمومي PKI
ابطال گواهي نسخهبرداري و بازيابي كليد (Backup & Restore) انكارناپذيري امضاءهاي رقمي بروزآوري خودكار زوج كليد-گواهيها مديريت سابقه كليدها پشتيباني از cross-certification نرمافزار طرف كارفرما براي تعامل امن و مطمئن با موارد بالا.
25
مساله عدم اعتبار گواهي يا کليد عمومي
فرض کنيد Bill يک زوج کليد عمومي وخصوصي تهيه کند و کليد عمومي را به صورت امني به همگان معرفي کند اطلاعات محرمانه براي Bill با اين کليد رمز ميشود تا اينکه ... کليد خصوصي بيل به روشي غير مجاز توسط Scott کشف ميشود Scott با داشتن کليد خصوصي متناظر ميتواند به اطلاعات محرمانه Bill دسترسي پيدا نمايد حتي اگر Bill از اين ماجرا مطلع شود و کليد را تعويض نمايد بازهم ممکن است ديگران از کليد قبلي استفاده نمايند و اطلاعات Bill کماکان در معرض خطر ميباشد.
26
نکاتي چند در مورد ابطال گواهي
افشاء کليد يک واقعيت غير قابل انکار است. همچنين امکان تغيير سمت يا موقعيت صاحب کليد وجود دارد. در اينگونه موارد، بايد کليد باطل شود. ابطال گواهي بايد از جانب يک شخص مورد اعتماد اعلام شود. گواهي ابطال گواهي بايد ابطال گواهي به اطلاع همگان برسد.
27
اعلام ابطال گواهي اعلام ابطال گواهي آسان نيست: از فهرست هاي ابطال گواهي CRL استفاده ميشود. اين فهرستها شامل ليستي از گواهيهاي منقضي نشده بياعتبار ميباشند که توسط CA امضاء شده است. بنا براين فرآيند بازبيني يک گواهي بايد به طور مداوم اين فهرست را بررسي کند. اين امر منجر به مشکلاتي در زمينه مقياس پذيري ميشود
28
اعلام ابطال گواهي :مشکل فرهنگي
کاربران عمدتاً اين گزينه را غير فعال ميکنند. به همين دليل کوتاه بودن زمان انقضاء کليدها مورد ترجيح ميباشد.
29
عدم اعتبار گواهي 3
30
نسخهبرداري و بازيابي كليد
دو دليل براي نسخه برداري كليد فراموشي كلمه رمز که منجر به از دست دادن دادههاي حساس ميشود. حتي رمز نكردن به خاطر ترس از گمشدن كلمه رمز وجود دارد. گم شدن، دزديده شدن، و يا خرابي رسانهاي كه كليدها روي آن ذخيره شده است. بايد مركزي براي بازيابي كليد وجود داشته باشد.
31
نسخهبرداري و بازيابي كليد - 2
عدم انكار دليلي بر عدم نسخهبرداري كليد انكار يعني اعلام عدم دخالت در يك تراكنش. در فرم كاغذي امضاء اين كار را كنترل ميكند. در فرم الكترونيكي: امضاء رقمي.
32
نسخهبرداري و بازيابي كليد - 3
عدم انكار مستلزم توليد و ذخيرة امن كليد امضاء تنها در محدوده تحت كنترل كاربر است نبايد از آن کلید خصوصی Backup گرفت. از نظر فني نیز ضرورت ندارد: میتوان زوج كليد مجزا برای رمزگذاری توليد و استفاده نمود. بنابر اين دو زوج كليد براي هر كاربر لازم است.
33
مديريت سابقه كليدها-1 نبايد كليدها ابدي باشند. پس بايد:
كليدها را بروز آورد. بروزآوري كليد بايد شفاف باشد، در نتيجه کليدها بايد قبل از انقضاء بروز آيد.
34
مديريت سابقه كليدها-2 برای کلید های رمز گذاری:
سابقه زوج كليدهاي قبلي را نگهداشت تا دادههاي رمز شده با زوج قبلي قابل رمزبرداري باشند. توسط نرمافزار طرف كارفرما انجام ميشود. نقطه مقابل: وقتي كليدهاي امضاء بروز ميآيند بايد کلید خصوصی كاملا نابود شوند!
35
مفاهيم وکليات زير ساخت كليد عمومي
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
36
مؤلفههاي زير ساخت کليد عمومي PKI
تا حال صادر كننده را مسئول توليد، مديريت، و توزيع گواهي و CRL تلقي كردهايم. PKI از تعدادي مؤلفه تشكيل شده است كه هركدام بخشي از وظايف را به خوبي انجام ميدهند...
37
مؤلفههاي PKI چهار مؤلفه اصلي: مرجع صدور گواهي يا CA
مرجع نام نويسي يا RA براي كنترل محتواي گواهي و اطمينان از تعلق به دارنده آن. انباره براي توزيع گواهيها و فهرست هاي ابطال گواهي ها با حداكثر كارآيي و دسترس پذيري لازم. بايگاني انباره طولاني و امن براي نگهداري دراز مدت اطلاعات
38
مؤلفههاي PKI
39
user registration user initialization key installation normal use of the key archival key de-registration and destruction recovery revocation generation update registration new key new user existing backup directory old key (expired) cryptoperiod expiry initial recovered key loss no compromise establishment protocol KEY STATE pre op post ob key movement system trigger
40
مرجع صدور گواهي يا CA يک CA با دو صفت نام و كليد عمومي شناخته ميشود. و مجموعه ايي از مجموعهاي از سخت افزار، نرم افزار، و اپراتورها ميباشد.
41
وظايف CA صدور گواهي (توليد و امضاء) براي كاربران و يا ديگر CAها.
نگهداري وضعيت گواهيها و صدور فهرست هاي ابطال گواهي CRL.
42
مرجع نام نويسي يا RA روشهاي تأييد هويت متقاضي
RA قبل از ارائه در خواست به CA اطلاعات لازم را جمع آوري و كنترل ميكند: مراجعه شخص، تأييد هويت. اگر قبلاً زوج كليد توليد كرده باشد همان کلیدها به CA ارسال ميشود. در غير اين صورت يك هويت شناسي يكبار مصرف ميگيرد تا پس از توليد به CA ارائه دهد.
43
مفاهيم وکليات زير ساخت كليد عمومي
فهرست مطالب مفاهيم وکليات زير ساخت كليد عمومي گواهي وظايف زير ساخت کليد عمومي PKI مؤلفههاي زير ساخت کليد عمومي PKI معماري زير ساخت کليد عمومي PKI
44
معماري زير ساخت کليد عمومي PKI
مادام كه دارندگان گواهي از يك CA گواهي گرفته باشند مسئله ساده است. وقتي كه دارندگان گواهي از CAهاي مختلف گواهي گرفته باشند چگونه اعتماد كنند؟ معماري ساده زير ساخت کليد عمومي: تنها يك CA در سازمان: هرگونه اشكال منجر به لطمه ديدن اعتماد و احتمالاً صدور مجدد گواهيها.
45
گواهي متقابل X1 <<X2>> X2 <<B>> O
يک محيط بزرگ شامل چند CA يا درختي ازCA ها را در نظر بگيريد. هر CA به كاربران خود سرويس ميدهد و لي به ازاء هر CA ديگر هم يك گواهي نزد خود دارد. با فرض A و B مربوط به دو CA مختلفX1 و X2 X1 <<X2>> X2 <<B>> O X2 <<X1>> X1 <<A>> O
46
گواهي متقابل X2 X1 B A
47
Enterprise PKI دومعماري مختلف براي PKI بزرگ عبارتند از: سلسله مراتبي
مشبک
50
لغت نامه عدم انكار Non Repudiation ابطال Revoke اجزاء Components
انباره Repository انقضاء Expiration بازبيني Verify بازيابي Restore بايگاني Archive جامعيت Integrity خدمات Services رسانه Media زير ساخت كليد عمومي Public Key Infrastructure سلسله مراتبي Hierarchical شخص ثالث مورد اعتماد Trusted Third Party شفاف Transparent شناسه ID طرف كارفرما Server Side فهرست ابطال گواهي Certificate Revocation List گواهي Certificate گواهي متقابل Cross-certification مديريت کليد Key Management مرجع ثبت نام Registration Authority مرجع صدور گواهي Certificate Authority مشبک Mesh مقياس پذيري Scalability ميدان field نسخهبرداري Back Up
51
پيوست ها
53
دو شركت اصليتر
Similar presentations
