официальный блог компании индид

многофакторная аутентификация, контроль администраторов и управление сертификатами

ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ (PKI)

Инфраструктура открытых ключей (Public Key Infrastructure) представляет собой совокупность различных средств для управления ключами и цифровыми сертификатами пользователей, приложений и других элементов IT-системы.


PKI-инфраструктура основана на использовании системы асимметричного шифрования и/или цифровой подписи, где для шифрования данных и проверки ЭЦП используется открытый ключ (public key), передаваемый по открытому (незащищенному) каналу. Расшифровка данных и вычисление цифровой подписи выполнятся при помощи закрытого ключа (private key), известного только его владельцу и хранящегося в защищенной памяти смарт-карты или токена.

Открытый и закрытый ключи образуют так называемую ключевую пару, которую создает удостоверяющий центр (УЦ) по запросу пользователя или сам пользователь с применением специальных программных средств. Таким образом, открытый и закрытый ключи являются комплементарными сущностями, которые создаются и используются одновременно. Это означает, что данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с помощью соответствующего закрытого ключа, и наоборот.

Помимо шифрования данных и защиты информации, PKI решает следующие задачи:

  • аутентификация пользователей и ресурсов, доступ к которым запрашивают пользователи
  • обеспечение целостности информации
  • обеспечение конфиденциальности информации
  • анализ и подтверждение действий пользователя при обращении к информации

Главным компонентом PKI-инфраструктуры является удостоверяющий центр (УЦ), который выпускает сертификаты открытых ключей и удостоверяет их подлинность. Поэтому выбор УЦ относится к числу важнейших вопросов процесса внедрения инфраструктуры открытых ключей.

Поскольку PKI-системы могут быть построены на базе различных алгоритмов, различные УЦ ориентированы на работу с соответствующими алгоритмами. УЦ хранит открытые ключи и другую информацию о пользователях в виде цифровых сертификатов. При этом в качестве конечных пользователей в рамках PKI могут выступать как пользователи (сотрудники), так и приложения/системы, которые владеют сертификатом и используют инфраструктуру PKI.

Для сотрудников использование PKI-систем требует наличия персональных носителей ключевой информации в виде смарт-карт или USB-токенов, на которых хранятся соответствующие закрытые ключи и цифровые сертификаты. Для учета и контроля смарт-карт и токенов в рамках PKI используются системы класса Card Management, предназначенные для управления жизненным циклом ключевых носителей (Smart Card Management System, SCMS, CMS).

CMS-системы выполняют централизованное управление смарт-картами и токенами, а также управление сертификатами, которые на них хранятся, на протяжении всего их жизненнего цикла. CMS-системы позволяют вести учет и осуществлять контроль использования носителей ключевой информации, автоматически выполнять операции с сертификтами (выдачу, перевыпуск, отзыв и др.), а также осуществлять аудит событий системы.

Все выпущенные сертификаты (в том числе с закончившимся сроком действия) хранятся в так называемом архиве сертификатов, используемом для проверки подлинности цифровой подписи.

Опубликовал автор: anna.vlasenko, 01 Янв 2018 в рубрике Глоссарий You can skip to the end and leave a response. Pinging is currently not allowed.



Leave a comment