Оценка современных инфраструктур открытых ключей

В современных телекоммуникационных системах вопрос криптографической защиты информации и обеспечения ее аутентичности и целостности достаточно важен. Это обусловлено рядом обстоятельств.

Во-первых, постоянно возрастают мощности электронно-вычислительных средств, что позволяет снизить время криптоанализа используемых криптографических механизмов обеспечения безопасности информации. Во-вторых, увеличение количества услуг предоставляемых телекоммуникационными сетями, приводит к широкому использованию механизмов безопасности, в частности, электронной цифровой подписи (ЭЦП) в различных схемах аутентификации [1 – 4].

В современных компьютерных сетях механизмы аутентификации жестко привязаны к используемой инфраструктуре открытых ключей или цифровых сертификатов (ЦС) (регистрационных свидетельств) [3; 4]. В связи с этим возникает ряд проблем. Одна из них заключается в незаконной генерации ложных ЦС, примером которой являются ЦС компании VeriSign от 29.01.2001 г. и 30.01.2001 г.

Вторая проблема возникла в результате конвергенции новых сетевых технологий, последствием которой являются ситуации, в которых невозможно получить ЦС либо проверить его подлинность. Это, в свою очередь, создает предпосылки для появления новых угроз безопасности информации и обуславливает актуальность исследования процессов и механизмов формирования и проверки ЦС в Украине.

Целью данной работы является рассмотрение существующих инфраструктур цифровых сертификатов, процессов аутентификации согласно ISO/IEC 11770 и ISO 11166 [3; 4] и анализ возможных подходов к построению инфраструктуры открытых ключей в Украине.

В современных автоматизированных системах, таких, как системы управления рыночными операциями, банковские, биллинговые и подобные им системы, обычно используется стандартный набор компонентов, обеспечивающих криптографическую защиту информации. В него входят: центр генерации ключевых последовательностей, центр сертификации открытых ключей (ЦСК), набор программно-аппаратного обеспечения для криптографической защиты информационных ресурсов и сетевой безопасности [2 – 4]. Особое место в такой системе занимают центры распределения открытых ключей, используемых для шифрования данных и верификации ЭЦП. Эффективность и живучесть таких центров определяет безопасность информации всей автоматизированной системы.

Основными угрозами для подобных систем являются: нарушение причастности к электронным транзакциям (получению либо отправке сообщений), нарушение их аутентичности и целостности. Для защиты от этих угроз, как правило, используют механизм ЭЦП в совокупности с процедурами сертификации открытых ключей. Так как криптоанализ современных алгоритмов электронной цифровой подписи [1; 5] для обычного пользователя сети является тривиальной задачей, то основное внимание злоумышленников сосредотачивается на способах имитации и подмены цифровых сертификатов.

Возможность осуществления таких угроз зависит от отношений доверия, установленных в компьютерной системе либо сети, рост сложности которых напрямую зависит от масштаба эти систем. Следовательно, инфраструктура открытых ключей (топология сети центров сертификации) влияет на безопасность всей автоматизированной системы. Топология такой сети отображает состояние доверительных отношений между субъектами обмена информацией и влияет на процессы обеспечения аутентификации и конфиденциальности в сети [2].

В современных распределенных компьютерных сетях процессы подтверждения аутентичности открытого ключа связаны с цепочкой проверок соответствующих сертификатов в доверительных центрах сертификации (ДЦС).

Согласно Закону Украины “Про електронні документи та електронний документообіг” и “Про електронний цифровий підпис” сертификаты, которые выдаются ДЦС, оформляются в соответствии с международным стандартом X.509 [3]. В качестве алгоритмов ЭЦП используется стандарт ДСТУ 4145-2002 либо ГОСТ Р 34.310-95 и ГОСТ Р 34.311-95, которые являются действительными в Украине.

Учитывая, что каждый ЦСК может использовать свой алгоритм аутентификации, порядок этих проверок (путь) влияет на время аутентификации, степень доверия и степень риска. Для оценки существующих подходов к построению инфраструктуры открытых ключей рассмотрим каждую из них.

Инфраструктура открытых ключей (ИОК) (Public Key Infrastructure – PKI) [2; 3] – это технология, состоящая из комбинации аппаратных и программных модулей, политик и процедур, представляющая топологию сетевых связей центров сертификации, которая используется для распределения открытых ключей шифрования и цифровой подписи. ИОК является основным звеном подсистемы информационной безопасности, необходимым для надежного функционирования корпоративных информационных систем, и позволяет как внутренним, так и внешним пользователям безопасно обмениваться информацией с помощью цепочки доверительных отношений (цепочки ЦС, связывающих личные ключи пользователей с открытыми ключами).

Современные ЦС различаются в зависимости от уровней иерархии в системе сертификации ключей.
1. С помощью ЦС 1-го уровня проверяют истинность адресов электронной почты, с помощью персонального ID, который пользователь сообщает при своей регистрации. ЦС этого уровня могут также содержать имя пользователя, а также адрес электронной почты, ID в ЦС может быть не уникальным.
2. С помощью ЦС 2-го уровня проверяют истинность имени, адреса и другой уникальной персональной информации пользователя или информации, связанной с получением разрешений (кредитов).
3. ЦС 3-го уровня используются внутри организаций, представляя собой ЦС 2-го уровня с добавлением фотографии пользователя.

Полностью статья на: Chevardin02.pdf

Опубликовать в twitter.com

Обсуждения закрыты для данной страницы