Інфраструктура відкритих ключів (англ. public key infrastructure, PKI) — інтегрований комплекс методів та засобів (набір служб), призначених забезпечити впровадження та експлуатацію криптографічних систем із відкритими ключами.
Інфраструктура відкритих ключів складається з програмного забезпечення, кртиптографічних технологій та служб, які дозволяють підприємствам та організаціям захищати канали зв'язку в комп'ютерних мережах. Вона поєднує електронні цифрові сертифікати, асиметричні алгоритми шифрування, та центри сертифікації у єдину мережеву архітектуру.
Інфраструктура відкритих ключів побудована на криптосистемах з відкритим ключем. Ця технологія має властивості, які відіграють важливу роль у захисті даних в розподілених системах. Технологія PKI полягає у використанні двох математично пов'язаних цифрових ключів, що мають такі властивості:
- один ключ може бути використаний для шифрування повідомлення, що може бути розшифровано тільки за допомогою другого ключа;
- навіть якщо відомий один ключ, за допомогою обчислень практично неможливо визначити другий. Один із ключів відкритий для всіх, а другий має приватний характер і зберігається в захищеному місці. Ці ключі можуть бути використані для автентифікації чи шифрування цифрового підпису електронних даних.
PKI служить не лише для створення цифрових сертифікатів, але і для зберігання великої кількості сертифікатів і ключів, забезпечення резервування і відновлення ключів, взаємної сертифікації, ведення списків анульованих сертифікатів і автоматичного відновлення ключів та сертифікатів після закінчення терміну їхньої дії.
Підходи до реалізації
Відомі таки приклади підходів до реалізації інфраструктури відкритих ключів:
- інфраструктура відкритих ключів, основана на сертифікатах у форматі X.509 — PKIX,
- проста інфраструктура відкритих ключів [en],
- захищена система домених імен DNS (DNSSEC, [en]),
- система захищеної електронної пошти PGP (англ. Pretty Good Privacy),
- система захищених електронних транзакцій [en].
Архітектура PKIX розглянута докладніше в решті статті, інші — нижче в цьому розділі.
Проста інфраструктура відкритих ключів
Задача простої інфраструктури відкритих ключів SPKI (англ. Simple Public Key Infrastructure) полягає в поширенні сертифікатів для авторизації, а не автентифікації власників відкритих ключів. Основою для SPKI стали ідеї простої розподіленої інфраструктури безпеки SDSI (англ. Simple Distributed Security Infrastructure), тому зазвичай цю технологію називають [en].
Центральними об'єктами SDSI є самі ключі, а не імена. Саме ключі можуть ідентифікувати об'єкти.
Основна мета сертифіката SPKI — авторизація певних дій, видача дозволів, надання можливостей, тощо власнику ключа. Сертифікати для авторизації мають бути згенеровані власником ключа, якому дозволено надавати або делегувати повноваження. Власник ключа може використовувати глобальне сховище інформації, наприклад, LDAP, сервер ключів PGP, або систему домених імен DNS.
В такій системі сертифікат SPKI можна порівняти із звичайним ключем (на противагу зв'язці ключів). Власник ключа SPKI має випускати сертифікати, які містять мінімум необхідної інформації. Оскільки одним із варіантів застосування сертифікатів SPKI є таємне голосування та аналогічних застосунках, сертифікати повинні надавати можливість надавати атрибут ключу знеособленого підпису. Одним з атрибутів ключа є його ім'я. У одного власника ключа може бути декілька імен: ті, якими власник віддає перевагу бути названим, й ті, під якими він відомий іншим власникам ключів. Сертифікат SPKI має забезпечувати можливість пов'язувати ключі з такими іменами.
Захищена система домених імен DNS
Доменна система імен DNS (англ. Domain Name System) є розподіленою базою даних з децентралізованим керуванням, яка зберігає узагальнену інформацію про ресурси мережі та задає схему іменування, основану на ієрархічно структурованих доменних іменах. Структура даних DNS — інвертоване дерево з коренем нагорі. Кожен вузел дерева є розділом загальної бази даних або домен. Кожен домен має доменне ім'я, яке ідентифікує його розташування в базі даних DNS.
Для захисту інформації при передачі даних може бути використаний механізм [en]. Цей механізм дозволяє автентифікувати будь-які повідомлення DNS: передачі зони, динамічне оновлення та звичайні запити й відповіді, але тільки між хостами, що знають таємний ключ (кожна пара хостів може мати власний таємний ключ).
Для забезпечення достовірною передачі даних DNS в масштабах мережі Інтернет використовують розширення протоколу відомі як DNSSEC. Основна ідея полягає у використанні криптографії з відкритими ключами для додавання цифрового підпису до даних. Таємний ключ відомий лише адміністратору первинного сервера зони. Цифровий підпис додається до бази даних у вигляді запису спеціального типу SIG. Дані передають у відкритому вигляді, а відкритий ключ з пари ключів доступний всім охочим.
Для реалізації механізму DNSSEC введено три нових типи записів: KEY, SIG та NXT. Запис типу KEY містить відкритий ключ зони, а SIG — цифровий підпис для набору записів.
Система захищеної електронної пошти PGP
Система PGP (англ. Pretty Good Privacy) створена для захисту таємниці повідомлень електронної пошти в глобальному інформаційному середовищі. PGP є гібридною системою, яка комплексно використовує переваги асиметричних та симетричних криптографічних алгоритмів. З точки зору користувачів виглядає як система з відкритим ключем. Вона забезпечує безпечний обмін повідомленнями через канали відкритого зв'язку без наявності захищеного каналу для обміну ключами. PGP дозволяє шифрувати, засвідчувати електронним цифровим підписом, розшифровувати та перевіряти повідомлення при відправці та отриманні електронної пошти.
Перед використанням PGP користувач має згенерувати пару ключів: відкритий та особистий. Відкритий ключ може бути переданий іншим через електронну пошту, розташований на сервері ключів, тощо. Інші абоненти можуть переконатись у вірності відкритого ключа звіривши його відбиток. Після перевірки дійсності ключа користувач підписує його, чим підтверджує безпеку та ступінь довіри до нього. Інформація про ступінь довіри зберігається у зв'язці ключів, але при експорті ключа не передається, оскільки вважається конфеденційною.
Система надає можливість всім користувачам виступати посередниками у поширенні інформації про ступені довіри до ключів. Таким чином утворена [en]. Як окремий випадок загальної моделі PGP підтримує централізований сценарій, коли сертифікати ключів користувачів засвідчує власним підписом особа, що користується загальною довірою — засвідчувальний центр. Система PGP пропонує інтегровані засоби для поширення та пошуку ключів на серверах ключів.
Система захищених електронних транзакцій SET
Протокол SET (англ. Secure Electronic Transaction — захищені електронні транзакції) оснований на технічному стандарті, який був розроблений компаніями VISA та MasterCard, та забезпечує безпеку електронних розрахунків за пластиковими картками через Інтернет: гарантує конфіденційність та цілісність інформації про платежі, автентифікацію рахунку власника картки та надає можливість підтвердити право продавця здійснювати фінансові опреації з фінансовими установами.
В середовищі SET інфраструктура відкритих ключів є фундаментом, на якій основана вся система автентифікації учасників розрахунків. Цифрові сертифікати, які тут також називають електронними мандатами або цифровими посвідченнями особи, використовують для зв'язування відкритих ключів та суб'єктів. Їх випускає довірена третя сторона або компанія — засвідчувальний центр.
Конфіденційність та цілісність повідомлень, якими обмінюються учасники захищених електронних транзакцій, забпезпечена механізмом подвійних підписів. Вміст кожного повідомлення шифрується із допомогою випадково згенерованого симетричного ключа шифрування. Цей ключ, в свою чергу, шифрується із використанням відкритого ключа отримувача повідомлення. Отриманий в результаті останньої операції так званий цифровий конверт відправляється отримувачу разом із зашифрованим повідомленням. Після отримання цифрового конверту, отримувач розшифровує його своїм особистим ключем, аби отримати випадково згенерований симетричний ключ для розшифровування вмісту повідомлення відправника.
Протокол SET надає послугу автентифікації для учасників завдяки використанню сертифікатів формату X.509 та має засоби анулювання, реалізовані у вигляді списку анульованих сертифікатів. В SET визначені власні специфічні доповнення сертифікатів, які мають підтримку лише в SET-сумісних системах.
Основні складові
Основними складовими інфраструктури відкритих ключів є центри сертифікації, центри реєстрації (засвідчення), репозиторії та архіви сертифікатів. Основними користувачами інфраструктури є: держателі (англ. Certificate Holders) та користувачі сертифікатів (англ. Certificate User) — також відомі як «сторона, що довіряє» (англ. Relying party).
Центр сертифікації ключів (англ. Certificate Authority, CA) — юридична особа незалежно від форми власності або фізична особа, яка є суб'єктом підприємницької діяльності, що надає послуги щодо сертифікації відкритих ключів. Центр сертифікації складається з апаратного, програмного забезпечення та обслуги. Центри сертифікації мають два важливих атрибути: назву та відритий ключ. Центри сертифікації виконують чотири основні завдання:
- видача сертифікатів (тобто, центр створює та підписує електронний цифровий сертифікат);
- оброблення статусу сертифікатів та підтримання списків анульованих сертифікатів (англ. CRL);
- поширення поточного списку дійсних та анульованих сертифікатів, аби користувачі мали можливість перевірити стан сертифікату;
- підтримання архівних даних про сертифікати та їхній стан.
Центри сертифікації інколи можуть делегувати відповідальність за деякі з цих задач до інших складових інфраструктури.
Центр сертифікації ключів разом із об'єктами, яким видано сертифікати цього центру утворюють домен (ЦСК-домен).
Центр реєстрації (англ. Registration Authority, RA) — об'єкт, що відповідає за ідентифікацію та аутентифікацію суб'єктів сертифікатів, але не підписує і не випускає сертифікати (тобто, RA делегуються деякі задачі від імені центру сертифікації).
Архів — це база даних, яка зберігає та захищає інформацію для розв'язання різних суперечок, які можуть виникнути у майбутньому. Основним завданням архіву є безпечне зберігання інформації, необхідної для встановлення вірності «старих» електронних підписів.
Центр сертифікації формує цифрові сертифікати ключа. Цифровий сертифікат електронного ключа зазвичай містить відкритий ключ, основні дані (реквізити) підписувача — власника особистого ключа, термін дії сертифікату, найменування та реквізити центру сертифікації ключів та електронний цифровий підпис самого центру сертифікації. Крім того, сертифікат може містити додаткову інформацію про центр сертифікації, власника сертифіката, або інформацію про передбачені способи використання відкритого ключа. Підписувачі звертаються до центрів сертифікації аби отримати свій сертифіакт електронного ключа, аби в подальшому користуватись електронним ключем для підтвердження своєї особи та мати можливість засвідчувати документи електронним цифровми підписом.
Користувачами інфраструктури відкритих ключів є організації та фізичні особи, які користуються послугами інфраструктури, але не видають цифрові сертифікати. Користувачі інфраструктурою покладаються на інші її складові для отримання сертифікатів, та для верифікації сертифікатів інших користувачів.
Моделі
Побудова ЦСК-доменів основана на таких типах центрів сертифікації ключів:
- Ізольований/Одноранговий ЦСК (англ. Isolate/Peer CA);
- Кореневий ЦСК (англ. Root CA);
- Підпорядкований ЦСК (англ. Subordinate CA);
- Шлюзовий ЦСК (англ. Bridge/Gateway CA).
Інфраструктура відкритих ключів окремого підприємства, відомства тощо може бути побудована за однією з відомих моделей:
Реалізації таких моделей часто утворюють замкнену групу, утворену в межах одного підприємства/організації та призначену для відокремленого від інших ЦСК застосування локальної інфраструктури ЕЦП.
Архітектура ЕЦП для об'єднання окремих ЦСК-доменів підприємств, відомств тощо в єдину довірчу інфраструктуру може бути за однією з відомих моделей:
- Ієрархічна модель (англ. Hieratic model);
- Мережена модель (англ. Mesh model);
- Шлюзова модель (англ. Bridge model).
Одноранговий домен
Ізольований/Одноранговий ЦСК–домен має центр сертифікації ключів з автопідписаним сертифікатом (англ. self-signed СА-certificate), який не засвідчений (не підписаний) будь-яким іншим ЦСК вищого рівня. Шлях сертифікації у цьому випадку дорівнює 2, тобто ЦСК-сертифікат та сертифікат клієнта цього ЦСК. Ізольований ЦСК не видає сертифікати іншим ЦСК (не має підпорядкованих ЦСК).
Такий ЦСК-домен складається лише з ізольованого центру сертифікації ключів та клієнтів-держателів сертифікатів, яким видано сертифікати цим ЦСК. Такий домен ще називають ізольованим/одноранговим ЦСК-доменом (англ. Peer Domain PKI).
Приєднати ізольований ЦСК-домен до деякої інфраструктури ЕЦП (до іншого ЦСК-домену) можна двома способами:
- Через ієрархічні відносини, як підпорядкований ЦСК (див. Ієрархічний ЦСК-домен);
- Через відносини рівноправних ЦСК (англ. peer-to-peer: кросс-сертифікацію).
В першому випадку вимагається обов'язково перевипустити (замінити) ЦСК-сертифікат, а отже здійснити повний перевипуск усіх сертифікатів держателів.
В другому випадку це не потрібне — усі сертифікати держателів залишаються чинними після приєднання Ізольованого ЦСК до деякого довірчого ЦСК-домену через механізм кросс-сертифікації.
Переваги Ізольованого ЦСК:
- мінімальна вартість та простота впровадження.
Особливо приваблива така структура для малих та середніх організацій, у яких усі клієнти ЦСК належать до однієї групи/категорії, наприклад, працівники організації.
Недоліки Ізольованого ЦСК:
- усі клієнти ЦСК з однаковим профілем сертифікату мають однакові довірчі відносини;
- не можна «відокремити» довірчий сертифікат, початок довірчого шляху сертифікації (ЦСК-сертифікат), який є найбільш важливим з точки зору безпеки домену, від сертифікатів інших користувачів;
- компрометація ЦСК-сертифікату чи приєднання Ізольованого ЦСК до Ієрархічного домену призводить до необхідності повного перевипуску усіх сертифікатів цього ЦСК;
- деякі стандарти РКІ (наприклад, стандарт банківського РКІ Європейського Співтовариства Identrus) не допускають видачу сертифікатів клієнтам Ізольованими ЦСК.
Центр сертифікації ключів з само-підписаним сертифіктом також називають «кореневим» (англ. Root CA).
Ієрархічна модель
Ієрархічна модель об'єднує ЦСК-домени в структуру зв'язного графа у вигляді дерева, що має одну головну вершину (Кореневий ЦСК — англ. Root CA), з якої будується структура Підпорядкованих ЦСК. В Ієрархічній моделі є один головний ЦСК, якому довіряють усі користувачі — це Кореневий ЦСК, тобто для усіх держателів сертифікатів ієрархічної моделі шлях сертифікації починається з одного Кореневого ЦСК.
Кореневий ЦСК не випускає сертифікатів для Клієнтів, окрім виключно Підпорядкованих ЦСК. Кожен з Підпорядкованих ЦСК може випустити сертифікат як своїм Клієнтам, так і підпорядкованому йому іншому ЦСК — Підпорядковані ЦСК другого рівня.
В Ієрархічній моделі довірчі відносини визначені лише в одному напрямку — від вищого рівня до нижчого рівня ЦСК, тобто Підпорядковані ЦСК не випускають сертифікати для ЦСК вищого рівня.
Політики сертифікатів визначаються Кореневим ЦСК для усього домену, і можуть додатково визначатися (у межах, що не суперечать політиці вищого рівня ЦСК) Підпорядкованими ЦСК для власних ЦСК-доменів.
Переваги Ієрархічної моделі:
- головною перевагою ієрархічної моделі є простота її початкової побудови;
- наявність Кореневого ЦСК, який видає сертифікати лише Підпорядкованим ЦСК, тобто «працює» періодично, що дозволяє забезпечити вищий рівень безпеки;
- дозволяє розмежувати повноваження (права) доступу груп користувачів до сервісів;
- дозволяє просто додавати нові довірчі групи держателів сертифікатів шляхом підключення нового Підпорядкованого ЦСК;
Недоліки Ієрархічної моделі є наслідками довіри єдиній точці (вищому рівню — Кореневому ЦСК) в структурі ієрархії:
- компрометація «кореня» (ключа Кореневого ЦСК) призводить до компрометації усього Ієрархічного «дерева» та необхідності заміни (перегенерації) усіх без винятку ключів держателів, причому не віддалено, а згідно з процедурою видачі першого сертифікату (особистий контакт), що може мати фатальні наслідки для організації. Інших безпечних методів відновлення роботи домену та усіх підпорядкованих йому під-доменів не існує;
- єдиний Кореневий ЦСК може бути неможливим із «політичних» міркувань — конкуренція, міжвідомчі перепони тощо;
- перехід як від Ізольованих ЦСК, так і від інших окремих Ієрархічних доменів до єдиної Національної ієрархічної моделі інфраструктури ЕЦП є логічно непрактичним, оскільки усі користувачі сертифікатів вже наявних ЦСК-доменів повинні внести зміни до їх довірчих точок (шляхів), а усі держателі сертифікатів замінити їх та відповідно ключі підпису на нові, які відповідатимуть новій ієрархічній структурі.
Додатково необхідно підкреслити, що в ієрархічній структурі при перевірці ланцюжків сертифікатів не передбачана перевірка сертифікату «кореня» домену, бо він є само-підписаним, а тому при компрометації ключа кореня публікація списку анульованих сертифікатів (CRL) стає неможливою, оскільки цей список необхідно підписати вже скомпрометованим ключем, до якого немає довіри.
Мережена модель
Мережена модель ІВК — це модель встановлення довірчих відносин між окремими Ізольованими та Ієрархічними ЦСК — доменами без довірчого посередника. Довірчі відносини встановлюються через механізм кросс-сертифікації між Головними ЦСК (англ. Principal CA) в кожному з доменів.
Переваги мереженої моделі:
- відносна простота встановлення довірчих відносин: достатньо застосувати механізм кросс-сертифікації між Головними ЦСК в існуючому домені ЦСК, не торкаючись при цьому Клієнтів ЦСК, тобто не вимагаються будь які зміни в середині кожного ЦСК-домену;
- дуже еластична структура щодо того, що існує багато точок довіри;
- компрометація окремого ЦСК не може скомпрометувати усю структуру;
- відновлення після компрометації простіше, ніж для Ієрархічної моделі;
- може бути легко створена з набору Ізольованих ЦСК чи доменів різної структури, оскільки держателі та користувачі сертифікатів не повинні змінювати їх точку довіри.
Недоліки цієї моделі пов'язані із дво-направленністю моделі довіри (на відміну від одно-направленої у Ієрархічній моделі):
- при компрометації будь — якого з Головних ЦСК учасників, він самостійно має оповістити решту;
- розширення шляху сертифікації складніше, ніж в Ієрархічній моделі.
На відміну від ієрархії, побудова шляху сертифікації від сертифіката держателя до точки довіри не детермінована (не жорстко визначена). Це ускладнює встановлення шляху сертифікації, оскільки можуть бути альтернативні шляхи. Деякі з них приведуть до допустимого шляху, а інші до глухого кута. Також можуть виникати «петлі» (цикли, які починаються та закінчуються на одному і тому ж ЦСК).
Шлюзова модель
Шлюзова модель складається із окремих незалежних ізольованих та ієрархічних доменів (часткових графів, окремих «дерев»), в тому числі інших структур зі шлюзовою моделлю, які об'єднані довірчими відносинами через довірчого посередника, Шлюзовий ЦСК (англ. Gateway CA), за допомогою механізму кросс-сертифікації.
Головна особливість цієї моделі — можливість додавати нові домени через довірчого посередника, Шлюзовий ЦСК або інша назва — «міст» (англ. Bridge СА), який відмінний від Кореневого ЦСК. Така модель об'єднує переваги Ієрархічної та Мереженої моделей.
Шлюзовий ЦСК не випускає сертифікатів для окремих користувачів, а лише здійснює кросс-сертифікацію між доменами на рівні однорангових відносин. Це дозволяє встановити прості та прозорі відносини довіри між різними об'єднаннями користувачів через Шлюзовий ЦСК з визначеним рівнем довіри.
Переваги шлюзової моделі в порівнянні з мережевою моделлю:
- можливість застосувати суворішу процедуру реєстрації учасників, в тому числі з урахуванням вимог для ієрархічних ЦСК;
- при компрометації будь-якого з ЦСК-учасників, цей ЦСК інформує Шлюзовий ЦСК і йому не потрібно «множити» інформацію на всіх ЦСК-учасників, оскільки цю функцію виконує Шлюзовий ЦСК.
Інші переваги Шлюзової моделі:
- дозволяє легко підключити новий ЦСК;
- держателі та користувачі сертифікатів не повинні змінювати їх точку довіри чи свої ключі;
- компрометація окремого ЦСК, не може скомпрометувати усю структуру;
- відновлення після компрометації простіше в шлюзовій моделі, ніж в ієрархічній.
Недоліки шлюзової моделі подібні тим, які є у мереженої. Але шляхи сертифікації значно коротші.
Проблема появи циклічних шляхів сертифікації в Шлюзовій моделі існує, але вона менш гостра, оскільки тут є єдина структура (Шлюзовий ЦСК), що може контролювати появу (наявність) циклічних шляхів і відповідно не допускати їх.
Приклади інфраструктури відкритих ключів
Україна
Прийняття у 2003 році Закону України «Про електронний цифровий підпис», відповідних постанов Кабінету Міністрів України та декількох актів уповноважених державних органів які були спрямовані на забезпечення регулювання з боку держави впровадження в Україні технології електронного цифрового підпису в першу чергу в державному секторі. Створена на основі цього Закону Національна система електронного цифрового підпису (НСЕЦП) від імені держави гарантує якість та надійність послуг електронного цифрового підпису (ЕЦП).
НСЕЦП в Україні розвивалась під керівництвом Державної служби спеціального зв'язку та захисту інформації України і Державного агентства з питань науки інновацій та інформатизації України. Паралельно розбудовується ініційована Національним банком України система ЕЦП у банківській сфері.
Станом на 2014 рік відповідно до Переліку центральних органів виконавчої влади, на які покладено функції технічного регулювання у визначених сферах діяльності, затвердженого постановою Кабінету Міністрів України від 13 березня 2002 р. № 288, на Міністерство юстиції України покладено функцію технічного регулювання у сфері електронного цифрового підпису.
Відповідно до Положення про Міністерство юстиції України, затвердженого Указом Президента України від 6 квітня 2011 № 395, Мін'юст виконує функції центрального засвідчувального органу (ЦЗО), регулює сферу електронного цифрового підпису шляхом акредитації та державного нагляду за діяльністю центрів сертифікації, а також формує основні напрямки та засади політики НСЕЦП України.
Діюча в Україні НСЕЦП за схемою сертифікації та ієрархією належить до кореневих. Кореневий центр сертифікації ЦЗО видає сертифікати підлеглим центрам сертифікації (відповідно — засвідчувальним органам або акредитованим/зареєстрованим центрам сертифікації ЦСК/АЦСК/АЗЦ НБУ) і йому безпосередньо довіряють кінцеві користувачі підлеглих центрів сертифікації. Використовуючи загальний сертифікат кореневого–центрального засвідчувального органу, можна перевірити всі сертифікати користувачів зареєстрованих та АЦСК, а також АЗЦ НБУ.
Згідно зі статтею 17 Закону України «Про електронний цифровий підпис» іноземні сертифікати ключів, засвідчені відповідно до законодавства тих держав, де вони видані, визнаються в Україні чинними у порядку, встановленому законом. Однак, станом на 2014 рік, правовий механізм регулювання визнання іноземних сертифікатів ключів відсутній. У зв'язку з цим однією з ключових проблем, які постали перед державою у сфері надання послуг електронного цифрового підпису, є відсутність інтероперабельності Національної системи електронного цифрового підпису як у межах України, так і з іншими державами.
Головною проблемою, яка постала перед Україною у сфері надання послуг електронного цифрового підпису, є відсутність сучасної інтероперабельної Національної системи електронного цифрового підпису. Національна система ЦСК в Україні має поєднувати в собі функції обслуговування громадян та організацій України і забезпечувати можливість їх взаємодії з громадянами й організаціями ЄС. При її розбудові виникли завдання, зокрема, забезпечення взаємодії державних органів України з офіційними органами та недержавними організаціями держав ЄС.
ЄС
Досвід країн Європейського Союзу щодо розбудови національних інфраструктур електронного цифрового підпису базується на положеннях Директиви 1999/93/ЄС та стандартах розроблених на її основі. Національні системи об'єднані в систему континентального масштабу і мають технічну спорідненість та алгоритмічну сумісність застосованих програмно-технічних рішень в сфері ЕЦП.
Зокрема прийнята у ЄС комітетом JTC1 система ISO/IEC відкрита за визначенням і має властивості інтероперабельності, масштабованості, мобільності, унормованості. Інфраструктура інформаційного суспільства має забезпечити дві складові подання даних та засоби довіри до цих даних.
З розвитком програми електронного уряду в країнах ЄС органи державного управління все ширше використовують електронні сертифікати для безпеки комунікацій, шифрування та електронного підпису, в тому числі в міждержавних відносинах в межах ЄС. Виникла необхідність встановлення відносин довіри між ЦСК, які використовуються національними органами державного управління. Це необхідно для того, щоб державні службовці держав ЄС могли використовувати електронні сертифікати, випущені їх національними ЦСК, в зальноєвропейській (pan-European) державній мережі.
У зв'язку з цим основною метою є встановлення системи взаємної довіри між ЦСК європейських державних (недержавних) органів. Це дасть змогу підприємствам і громадянам, які володіють електронними сертифікатами, випущеними національними ЦСК (державними та недержавними), взаємодіяти в межах ЄС як між собою, так і з державними органами та в електронній комерції ЄС.
Традиційна модель інфраструктури з відкритими ключами (PKI — Public Key Infrastructure) дає змогу вирішити питання щодо встановлення відносин довіри між ЦСК через механізм «крос-сертифікації» («cross-certification»). Для побудових Національних ІВК в США, Канаді, ЄС, тощо, використано модель Шлюзового ЦСК (англ. Bridge СА або англ. Gateway CA).
В ЄС ініціатива «European Bridge-CA» була ініційована Дойче банком (Deutsche Bank) та Дойче Телекомом (Deutsche Telekom).
Зоркема в ЄС використовується Державний шлюзовий ЦСК, «Bridge СА» (BGCA — англ. Bridge Government Certificate Authority), призначений забезпечити такий ступінь довіри, який необхідний для використання електронних сертифікатів як на національному, так і на європейському рівнях.
Відповідна робоча програма ЄС щодо створення «Bridge СА» (ВСА) на рівні ЄС була розпочата в 2001 р. Базою для програми «Bridge СА» був проект РКІ для замкнутих груп (PKICUG — англ. Public Key Infrastructure for Closed User Groups) користувачів ЄС, який був розпочатий в січні 1999 р., як частина програми Обміну даними між урядами (IDA — англ. Interchange of Data between administrations), що призначена для розвитку та виконання між урядами країн ЄС електронного обміну даними через транс'європейські мережі.
Мінімальними вимогами ЄС щодо стандартів і специфікацій для Довірчого центру є:
- послуги (сертифікації та списки відкликаних сертифікатів) Довірчого центру повинні відповідати Інтернет-стандартам, необхідним для підтримки інфраструктури відкритого ключа та відповідним специфікаціям;
- служби каталогу (мережі/домену) Довірчого центру мають бути сумісні щонайменше зі стандартом X.500 та підтримувати LDAP запити;
- дотримання стандартів ETSI (European Telecommunications Standards Institute) щодо центрів сертифікації ключів, які випускають «прості» (не регульовані державою) сертифікати відкритих ключів та посилені сертифікати.
Примітки
- Гончарова Л. Л., Возненко А. Д., Стасюк О. І., Коваль Ю. О. (2013). 4.5. Алгоритми з використанням ключів. (PDF). Державний економіко-технологічний університет транспорту. Архів оригіналу (PDF) за 16 травня 2017. Процитовано 14 липня 2017.
- 3. Public Key Infrastructures. (PDF). Т. 800—32. NIST. 26 February 2001. Архів оригіналу (PDF) за 5 червня 2018. Процитовано 14 липня 2017.
- Горбатов В.С., Полянская О.Ю. (2004). 2. Структура, сервисы и архитектура PKI. Основы технологии PKI. М.: Горячая линия – Телеком. с. 248. ISBN .
- NIST 800-32; 3.1 PKI Components
- к. ф.-м.н. Мартиненко С. В. (PDF). Архів оригіналу (PDF) за 21 січня 2022. Процитовано 18 липня 2017.
- NIST 800-32; 3.1.1 Certification Authorities
- Сергій Валентинович Бєлов, Сергій Васильович Мартиненко (2005). (PDF). Збірник наукових праць ІПМЕ ім. Г. Є. Пухова, НАН України (28): 68—79. Архів оригіналу (PDF) за 5 березня 2017. Процитовано 18 липня 2017.
- Костенко О. В. (2014). Створення Довірчого центру Міністерства юстиції України – вікно держави у світовий простір електронного цифрового підпису. Бюлетень Міністерства юстиції України (3): 142—149.
Література
- Гончарова Л. Л., Возненко А. Д., Стасюк О. І., Коваль Ю. О. (2013). (PDF). Державний економіко-технологічний університет транспорту. Архів оригіналу (PDF) за 16 травня 2017. Процитовано 14 липня 2017.
- (PDF). NIST. 26 February 2001. Архів оригіналу (PDF) за 5 червня 2018. Процитовано 14 липня 2017.
- EuroPKI Certificate Policy (PDF). EuroPKI. січень 2004.
- Горбатов В.С., Полянская О.Ю. (2004). Основы технологии PKI. М.: Горячая линия – Телеком. с. 248. ISBN .
- С. Е. Остапов, С. П. Євсеєв, О. Г. Король (2013). Технології захисту інформації : навчальний посібник. Х.: Вид. ХНЕУ.
Див. також
Посилання
- Нормативно-правові акти України у сфері електронного цифрового підпису [ 4 липня 2017 у Wayback Machine.]
Це незавершена стаття з криптографії. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Infrastruktura vidkritih klyuchiv angl public key infrastructure PKI integrovanij kompleks metodiv ta zasobiv nabir sluzhb priznachenih zabezpechiti vprovadzhennya ta ekspluataciyu kriptografichnih sistem iz vidkritimi klyuchami Infrastruktura vidkritih klyuchiv skladayetsya z programnogo zabezpechennya krtiptografichnih tehnologij ta sluzhb yaki dozvolyayut pidpriyemstvam ta organizaciyam zahishati kanali zv yazku v komp yuternih merezhah Vona poyednuye elektronni cifrovi sertifikati asimetrichni algoritmi shifruvannya ta centri sertifikaciyi u yedinu merezhevu arhitekturu Infrastruktura vidkritih klyuchiv pobudovana na kriptosistemah z vidkritim klyuchem Cya tehnologiya maye vlastivosti yaki vidigrayut vazhlivu rol u zahisti danih v rozpodilenih sistemah Tehnologiya PKI polyagaye u vikoristanni dvoh matematichno pov yazanih cifrovih klyuchiv sho mayut taki vlastivosti odin klyuch mozhe buti vikoristanij dlya shifruvannya povidomlennya sho mozhe buti rozshifrovano tilki za dopomogoyu drugogo klyucha navit yaksho vidomij odin klyuch za dopomogoyu obchislen praktichno nemozhlivo viznachiti drugij Odin iz klyuchiv vidkritij dlya vsih a drugij maye privatnij harakter i zberigayetsya v zahishenomu misci Ci klyuchi mozhut buti vikoristani dlya avtentifikaciyi chi shifruvannya cifrovogo pidpisu elektronnih danih PKI sluzhit ne lishe dlya stvorennya cifrovih sertifikativ ale i dlya zberigannya velikoyi kilkosti sertifikativ i klyuchiv zabezpechennya rezervuvannya i vidnovlennya klyuchiv vzayemnoyi sertifikaciyi vedennya spiskiv anulovanih sertifikativ i avtomatichnogo vidnovlennya klyuchiv ta sertifikativ pislya zakinchennya terminu yihnoyi diyi Pidhodi do realizaciyiVidomi taki prikladi pidhodiv do realizaciyi infrastrukturi vidkritih klyuchiv infrastruktura vidkritih klyuchiv osnovana na sertifikatah u formati X 509 PKIX prosta infrastruktura vidkritih klyuchiv en zahishena sistema domenih imen DNS DNSSEC en sistema zahishenoyi elektronnoyi poshti PGP angl Pretty Good Privacy sistema zahishenih elektronnih tranzakcij en Arhitektura PKIX rozglyanuta dokladnishe v reshti statti inshi nizhche v comu rozdili Prosta infrastruktura vidkritih klyuchiv Dokladnishe en Zadacha prostoyi infrastrukturi vidkritih klyuchiv SPKI angl Simple Public Key Infrastructure polyagaye v poshirenni sertifikativ dlya avtorizaciyi a ne avtentifikaciyi vlasnikiv vidkritih klyuchiv Osnovoyu dlya SPKI stali ideyi prostoyi rozpodilenoyi infrastrukturi bezpeki SDSI angl Simple Distributed Security Infrastructure tomu zazvichaj cyu tehnologiyu nazivayut en Centralnimi ob yektami SDSI ye sami klyuchi a ne imena Same klyuchi mozhut identifikuvati ob yekti Osnovna meta sertifikata SPKI avtorizaciya pevnih dij vidacha dozvoliv nadannya mozhlivostej tosho vlasniku klyucha Sertifikati dlya avtorizaciyi mayut buti zgenerovani vlasnikom klyucha yakomu dozvoleno nadavati abo deleguvati povnovazhennya Vlasnik klyucha mozhe vikoristovuvati globalne shovishe informaciyi napriklad LDAP server klyuchiv PGP abo sistemu domenih imen DNS V takij sistemi sertifikat SPKI mozhna porivnyati iz zvichajnim klyuchem na protivagu zv yazci klyuchiv Vlasnik klyucha SPKI maye vipuskati sertifikati yaki mistyat minimum neobhidnoyi informaciyi Oskilki odnim iz variantiv zastosuvannya sertifikativ SPKI ye tayemne golosuvannya ta analogichnih zastosunkah sertifikati povinni nadavati mozhlivist nadavati atribut klyuchu zneosoblenogo pidpisu Odnim z atributiv klyucha ye jogo im ya U odnogo vlasnika klyucha mozhe buti dekilka imen ti yakimi vlasnik viddaye perevagu buti nazvanim j ti pid yakimi vin vidomij inshim vlasnikam klyuchiv Sertifikat SPKI maye zabezpechuvati mozhlivist pov yazuvati klyuchi z takimi imenami Zahishena sistema domenih imen DNS Dokladnishe Domenna sistema imen DNSSEC ta Domenna sistema imen DNS angl Domain Name System ye rozpodilenoyu bazoyu danih z decentralizovanim keruvannyam yaka zberigaye uzagalnenu informaciyu pro resursi merezhi ta zadaye shemu imenuvannya osnovanu na iyerarhichno strukturovanih domennih imenah Struktura danih DNS invertovane derevo z korenem nagori Kozhen vuzel dereva ye rozdilom zagalnoyi bazi danih abo domen Kozhen domen maye domenne im ya yake identifikuye jogo roztashuvannya v bazi danih DNS Dlya zahistu informaciyi pri peredachi danih mozhe buti vikoristanij mehanizm en Cej mehanizm dozvolyaye avtentifikuvati bud yaki povidomlennya DNS peredachi zoni dinamichne onovlennya ta zvichajni zapiti j vidpovidi ale tilki mizh hostami sho znayut tayemnij klyuch kozhna para hostiv mozhe mati vlasnij tayemnij klyuch Dlya zabezpechennya dostovirnoyu peredachi danih DNS v masshtabah merezhi Internet vikoristovuyut rozshirennya protokolu vidomi yak DNSSEC Osnovna ideya polyagaye u vikoristanni kriptografiyi z vidkritimi klyuchami dlya dodavannya cifrovogo pidpisu do danih Tayemnij klyuch vidomij lishe administratoru pervinnogo servera zoni Cifrovij pidpis dodayetsya do bazi danih u viglyadi zapisu specialnogo tipu SIG Dani peredayut u vidkritomu viglyadi a vidkritij klyuch z pari klyuchiv dostupnij vsim ohochim Dlya realizaciyi mehanizmu DNSSEC vvedeno tri novih tipi zapisiv KEY SIG ta NXT Zapis tipu KEY mistit vidkritij klyuch zoni a SIG cifrovij pidpis dlya naboru zapisiv Sistema zahishenoyi elektronnoyi poshti PGP Dokladnishe PGP elektronna poshta ta Sistema PGP angl Pretty Good Privacy stvorena dlya zahistu tayemnici povidomlen elektronnoyi poshti v globalnomu informacijnomu seredovishi PGP ye gibridnoyu sistemoyu yaka kompleksno vikoristovuye perevagi asimetrichnih ta simetrichnih kriptografichnih algoritmiv Z tochki zoru koristuvachiv viglyadaye yak sistema z vidkritim klyuchem Vona zabezpechuye bezpechnij obmin povidomlennyami cherez kanali vidkritogo zv yazku bez nayavnosti zahishenogo kanalu dlya obminu klyuchami PGP dozvolyaye shifruvati zasvidchuvati elektronnim cifrovim pidpisom rozshifrovuvati ta pereviryati povidomlennya pri vidpravci ta otrimanni elektronnoyi poshti Pered vikoristannyam PGP koristuvach maye zgeneruvati paru klyuchiv vidkritij ta osobistij Vidkritij klyuch mozhe buti peredanij inshim cherez elektronnu poshtu roztashovanij na serveri klyuchiv tosho Inshi abonenti mozhut perekonatis u virnosti vidkritogo klyucha zvirivshi jogo vidbitok Pislya perevirki dijsnosti klyucha koristuvach pidpisuye jogo chim pidtverdzhuye bezpeku ta stupin doviri do nogo Informaciya pro stupin doviri zberigayetsya u zv yazci klyuchiv ale pri eksporti klyucha ne peredayetsya oskilki vvazhayetsya konfedencijnoyu Sistema nadaye mozhlivist vsim koristuvacham vistupati poserednikami u poshirenni informaciyi pro stupeni doviri do klyuchiv Takim chinom utvorena en Yak okremij vipadok zagalnoyi modeli PGP pidtrimuye centralizovanij scenarij koli sertifikati klyuchiv koristuvachiv zasvidchuye vlasnim pidpisom osoba sho koristuyetsya zagalnoyu doviroyu zasvidchuvalnij centr Sistema PGP proponuye integrovani zasobi dlya poshirennya ta poshuku klyuchiv na serverah klyuchiv Sistema zahishenih elektronnih tranzakcij SET Dokladnishe en Protokol SET angl Secure Electronic Transaction zahisheni elektronni tranzakciyi osnovanij na tehnichnomu standarti yakij buv rozroblenij kompaniyami VISA ta MasterCard ta zabezpechuye bezpeku elektronnih rozrahunkiv za plastikovimi kartkami cherez Internet garantuye konfidencijnist ta cilisnist informaciyi pro platezhi avtentifikaciyu rahunku vlasnika kartki ta nadaye mozhlivist pidtverditi pravo prodavcya zdijsnyuvati finansovi opreaciyi z finansovimi ustanovami V seredovishi SET infrastruktura vidkritih klyuchiv ye fundamentom na yakij osnovana vsya sistema avtentifikaciyi uchasnikiv rozrahunkiv Cifrovi sertifikati yaki tut takozh nazivayut elektronnimi mandatami abo cifrovimi posvidchennyami osobi vikoristovuyut dlya zv yazuvannya vidkritih klyuchiv ta sub yektiv Yih vipuskaye dovirena tretya storona abo kompaniya zasvidchuvalnij centr Konfidencijnist ta cilisnist povidomlen yakimi obminyuyutsya uchasniki zahishenih elektronnih tranzakcij zabpezpechena mehanizmom podvijnih pidpisiv Vmist kozhnogo povidomlennya shifruyetsya iz dopomogoyu vipadkovo zgenerovanogo simetrichnogo klyucha shifruvannya Cej klyuch v svoyu chergu shifruyetsya iz vikoristannyam vidkritogo klyucha otrimuvacha povidomlennya Otrimanij v rezultati ostannoyi operaciyi tak zvanij cifrovij konvert vidpravlyayetsya otrimuvachu razom iz zashifrovanim povidomlennyam Pislya otrimannya cifrovogo konvertu otrimuvach rozshifrovuye jogo svoyim osobistim klyuchem abi otrimati vipadkovo zgenerovanij simetrichnij klyuch dlya rozshifrovuvannya vmistu povidomlennya vidpravnika Protokol SET nadaye poslugu avtentifikaciyi dlya uchasnikiv zavdyaki vikoristannyu sertifikativ formatu X 509 ta maye zasobi anulyuvannya realizovani u viglyadi spisku anulovanih sertifikativ V SET viznacheni vlasni specifichni dopovnennya sertifikativ yaki mayut pidtrimku lishe v SET sumisnih sistemah Osnovni skladoviOsnovnimi skladovimi infrastrukturi vidkritih klyuchiv ye centri sertifikaciyi centri reyestraciyi zasvidchennya repozitoriyi ta arhivi sertifikativ Osnovnimi koristuvachami infrastrukturi ye derzhateli angl Certificate Holders ta koristuvachi sertifikativ angl Certificate User takozh vidomi yak storona sho doviryaye angl Relying party Centr sertifikaciyi klyuchiv angl Certificate Authority CA yuridichna osoba nezalezhno vid formi vlasnosti abo fizichna osoba yaka ye sub yektom pidpriyemnickoyi diyalnosti sho nadaye poslugi shodo sertifikaciyi vidkritih klyuchiv Centr sertifikaciyi skladayetsya z aparatnogo programnogo zabezpechennya ta obslugi Centri sertifikaciyi mayut dva vazhlivih atributi nazvu ta vidritij klyuch Centri sertifikaciyi vikonuyut chotiri osnovni zavdannya vidacha sertifikativ tobto centr stvoryuye ta pidpisuye elektronnij cifrovij sertifikat obroblennya statusu sertifikativ ta pidtrimannya spiskiv anulovanih sertifikativ angl CRL poshirennya potochnogo spisku dijsnih ta anulovanih sertifikativ abi koristuvachi mali mozhlivist pereviriti stan sertifikatu pidtrimannya arhivnih danih pro sertifikati ta yihnij stan Centri sertifikaciyi inkoli mozhut deleguvati vidpovidalnist za deyaki z cih zadach do inshih skladovih infrastrukturi Centr sertifikaciyi klyuchiv razom iz ob yektami yakim vidano sertifikati cogo centru utvoryuyut domen CSK domen Centr reyestraciyi angl Registration Authority RA ob yekt sho vidpovidaye za identifikaciyu ta autentifikaciyu sub yektiv sertifikativ ale ne pidpisuye i ne vipuskaye sertifikati tobto RA deleguyutsya deyaki zadachi vid imeni centru sertifikaciyi Arhiv ce baza danih yaka zberigaye ta zahishaye informaciyu dlya rozv yazannya riznih superechok yaki mozhut viniknuti u majbutnomu Osnovnim zavdannyam arhivu ye bezpechne zberigannya informaciyi neobhidnoyi dlya vstanovlennya virnosti starih elektronnih pidpisiv Centr sertifikaciyi formuye cifrovi sertifikati klyucha Cifrovij sertifikat elektronnogo klyucha zazvichaj mistit vidkritij klyuch osnovni dani rekviziti pidpisuvacha vlasnika osobistogo klyucha termin diyi sertifikatu najmenuvannya ta rekviziti centru sertifikaciyi klyuchiv ta elektronnij cifrovij pidpis samogo centru sertifikaciyi Krim togo sertifikat mozhe mistiti dodatkovu informaciyu pro centr sertifikaciyi vlasnika sertifikata abo informaciyu pro peredbacheni sposobi vikoristannya vidkritogo klyucha Pidpisuvachi zvertayutsya do centriv sertifikaciyi abi otrimati svij sertifiakt elektronnogo klyucha abi v podalshomu koristuvatis elektronnim klyuchem dlya pidtverdzhennya svoyeyi osobi ta mati mozhlivist zasvidchuvati dokumenti elektronnim cifrovmi pidpisom Koristuvachami infrastrukturi vidkritih klyuchiv ye organizaciyi ta fizichni osobi yaki koristuyutsya poslugami infrastrukturi ale ne vidayut cifrovi sertifikati Koristuvachi infrastrukturoyu pokladayutsya na inshi yiyi skladovi dlya otrimannya sertifikativ ta dlya verifikaciyi sertifikativ inshih koristuvachiv ModeliPobudova CSK domeniv osnovana na takih tipah centriv sertifikaciyi klyuchiv Izolovanij Odnorangovij CSK angl Isolate Peer CA Korenevij CSK angl Root CA Pidporyadkovanij CSK angl Subordinate CA Shlyuzovij CSK angl Bridge Gateway CA Infrastruktura vidkritih klyuchiv okremogo pidpriyemstva vidomstva tosho mozhe buti pobudovana za odniyeyu z vidomih modelej Odnorangovij CSK domen angl Peer Domain PKI Iyerarhichnij CSK domen angl Hieratic Domain PKI Realizaciyi takih modelej chasto utvoryuyut zamknenu grupu utvorenu v mezhah odnogo pidpriyemstva organizaciyi ta priznachenu dlya vidokremlenogo vid inshih CSK zastosuvannya lokalnoyi infrastrukturi ECP Arhitektura ECP dlya ob yednannya okremih CSK domeniv pidpriyemstv vidomstv tosho v yedinu dovirchu infrastrukturu mozhe buti za odniyeyu z vidomih modelej Iyerarhichna model angl Hieratic model Merezhena model angl Mesh model Shlyuzova model angl Bridge model Odnorangovij domen Izolovanij Odnorangovij CSK domen maye centr sertifikaciyi klyuchiv z avtopidpisanim sertifikatom angl self signed SA certificate yakij ne zasvidchenij ne pidpisanij bud yakim inshim CSK vishogo rivnya Shlyah sertifikaciyi u comu vipadku dorivnyuye 2 tobto CSK sertifikat ta sertifikat kliyenta cogo CSK Izolovanij CSK ne vidaye sertifikati inshim CSK ne maye pidporyadkovanih CSK Takij CSK domen skladayetsya lishe z izolovanogo centru sertifikaciyi klyuchiv ta kliyentiv derzhateliv sertifikativ yakim vidano sertifikati cim CSK Takij domen she nazivayut izolovanim odnorangovim CSK domenom angl Peer Domain PKI Priyednati izolovanij CSK domen do deyakoyi infrastrukturi ECP do inshogo CSK domenu mozhna dvoma sposobami Cherez iyerarhichni vidnosini yak pidporyadkovanij CSK div Iyerarhichnij CSK domen Cherez vidnosini rivnopravnih CSK angl peer to peer kross sertifikaciyu V pershomu vipadku vimagayetsya obov yazkovo perevipustiti zaminiti CSK sertifikat a otzhe zdijsniti povnij perevipusk usih sertifikativ derzhateliv V drugomu vipadku ce ne potribne usi sertifikati derzhateliv zalishayutsya chinnimi pislya priyednannya Izolovanogo CSK do deyakogo dovirchogo CSK domenu cherez mehanizm kross sertifikaciyi Perevagi Izolovanogo CSK minimalna vartist ta prostota vprovadzhennya Osoblivo privabliva taka struktura dlya malih ta serednih organizacij u yakih usi kliyenti CSK nalezhat do odniyeyi grupi kategoriyi napriklad pracivniki organizaciyi Nedoliki Izolovanogo CSK usi kliyenti CSK z odnakovim profilem sertifikatu mayut odnakovi dovirchi vidnosini ne mozhna vidokremiti dovirchij sertifikat pochatok dovirchogo shlyahu sertifikaciyi CSK sertifikat yakij ye najbilsh vazhlivim z tochki zoru bezpeki domenu vid sertifikativ inshih koristuvachiv komprometaciya CSK sertifikatu chi priyednannya Izolovanogo CSK do Iyerarhichnogo domenu prizvodit do neobhidnosti povnogo perevipusku usih sertifikativ cogo CSK deyaki standarti RKI napriklad standart bankivskogo RKI Yevropejskogo Spivtovaristva Identrus ne dopuskayut vidachu sertifikativ kliyentam Izolovanimi CSK Centr sertifikaciyi klyuchiv z samo pidpisanim sertifiktom takozh nazivayut korenevim angl Root CA Iyerarhichna model Iyerarhichna model ob yednuye CSK domeni v strukturu zv yaznogo grafa u viglyadi dereva sho maye odnu golovnu vershinu Korenevij CSK angl Root CA z yakoyi buduyetsya struktura Pidporyadkovanih CSK V Iyerarhichnij modeli ye odin golovnij CSK yakomu doviryayut usi koristuvachi ce Korenevij CSK tobto dlya usih derzhateliv sertifikativ iyerarhichnoyi modeli shlyah sertifikaciyi pochinayetsya z odnogo Korenevogo CSK Korenevij CSK ne vipuskaye sertifikativ dlya Kliyentiv okrim viklyuchno Pidporyadkovanih CSK Kozhen z Pidporyadkovanih CSK mozhe vipustiti sertifikat yak svoyim Kliyentam tak i pidporyadkovanomu jomu inshomu CSK Pidporyadkovani CSK drugogo rivnya V Iyerarhichnij modeli dovirchi vidnosini viznacheni lishe v odnomu napryamku vid vishogo rivnya do nizhchogo rivnya CSK tobto Pidporyadkovani CSK ne vipuskayut sertifikati dlya CSK vishogo rivnya Politiki sertifikativ viznachayutsya Korenevim CSK dlya usogo domenu i mozhut dodatkovo viznachatisya u mezhah sho ne superechat politici vishogo rivnya CSK Pidporyadkovanimi CSK dlya vlasnih CSK domeniv Perevagi Iyerarhichnoyi modeli golovnoyu perevagoyu iyerarhichnoyi modeli ye prostota yiyi pochatkovoyi pobudovi nayavnist Korenevogo CSK yakij vidaye sertifikati lishe Pidporyadkovanim CSK tobto pracyuye periodichno sho dozvolyaye zabezpechiti vishij riven bezpeki dozvolyaye rozmezhuvati povnovazhennya prava dostupu grup koristuvachiv do servisiv dozvolyaye prosto dodavati novi dovirchi grupi derzhateliv sertifikativ shlyahom pidklyuchennya novogo Pidporyadkovanogo CSK Nedoliki Iyerarhichnoyi modeli ye naslidkami doviri yedinij tochci vishomu rivnyu Korenevomu CSK v strukturi iyerarhiyi komprometaciya korenya klyucha Korenevogo CSK prizvodit do komprometaciyi usogo Iyerarhichnogo dereva ta neobhidnosti zamini peregeneraciyi usih bez vinyatku klyuchiv derzhateliv prichomu ne viddaleno a zgidno z proceduroyu vidachi pershogo sertifikatu osobistij kontakt sho mozhe mati fatalni naslidki dlya organizaciyi Inshih bezpechnih metodiv vidnovlennya roboti domenu ta usih pidporyadkovanih jomu pid domeniv ne isnuye yedinij Korenevij CSK mozhe buti nemozhlivim iz politichnih mirkuvan konkurenciya mizhvidomchi pereponi tosho perehid yak vid Izolovanih CSK tak i vid inshih okremih Iyerarhichnih domeniv do yedinoyi Nacionalnoyi iyerarhichnoyi modeli infrastrukturi ECP ye logichno nepraktichnim oskilki usi koristuvachi sertifikativ vzhe nayavnih CSK domeniv povinni vnesti zmini do yih dovirchih tochok shlyahiv a usi derzhateli sertifikativ zaminiti yih ta vidpovidno klyuchi pidpisu na novi yaki vidpovidatimut novij iyerarhichnij strukturi Dodatkovo neobhidno pidkresliti sho v iyerarhichnij strukturi pri perevirci lancyuzhkiv sertifikativ ne peredbachana perevirka sertifikatu korenya domenu bo vin ye samo pidpisanim a tomu pri komprometaciyi klyucha korenya publikaciya spisku anulovanih sertifikativ CRL staye nemozhlivoyu oskilki cej spisok neobhidno pidpisati vzhe skomprometovanim klyuchem do yakogo nemaye doviri Merezhena model Merezhena model IVK ce model vstanovlennya dovirchih vidnosin mizh okremimi Izolovanimi ta Iyerarhichnimi CSK domenami bez dovirchogo poserednika Dovirchi vidnosini vstanovlyuyutsya cherez mehanizm kross sertifikaciyi mizh Golovnimi CSK angl Principal CA v kozhnomu z domeniv Perevagi merezhenoyi modeli vidnosna prostota vstanovlennya dovirchih vidnosin dostatno zastosuvati mehanizm kross sertifikaciyi mizh Golovnimi CSK v isnuyuchomu domeni CSK ne torkayuchis pri comu Kliyentiv CSK tobto ne vimagayutsya bud yaki zmini v seredini kozhnogo CSK domenu duzhe elastichna struktura shodo togo sho isnuye bagato tochok doviri komprometaciya okremogo CSK ne mozhe skomprometuvati usyu strukturu vidnovlennya pislya komprometaciyi prostishe nizh dlya Iyerarhichnoyi modeli mozhe buti legko stvorena z naboru Izolovanih CSK chi domeniv riznoyi strukturi oskilki derzhateli ta koristuvachi sertifikativ ne povinni zminyuvati yih tochku doviri Nedoliki ciyeyi modeli pov yazani iz dvo napravlennistyu modeli doviri na vidminu vid odno napravlenoyi u Iyerarhichnij modeli pri komprometaciyi bud yakogo z Golovnih CSK uchasnikiv vin samostijno maye opovistiti reshtu rozshirennya shlyahu sertifikaciyi skladnishe nizh v Iyerarhichnij modeli Na vidminu vid iyerarhiyi pobudova shlyahu sertifikaciyi vid sertifikata derzhatelya do tochki doviri ne determinovana ne zhorstko viznachena Ce uskladnyuye vstanovlennya shlyahu sertifikaciyi oskilki mozhut buti alternativni shlyahi Deyaki z nih privedut do dopustimogo shlyahu a inshi do gluhogo kuta Takozh mozhut vinikati petli cikli yaki pochinayutsya ta zakinchuyutsya na odnomu i tomu zh CSK Shlyuzova model Shlyuzova model skladayetsya iz okremih nezalezhnih izolovanih ta iyerarhichnih domeniv chastkovih grafiv okremih derev v tomu chisli inshih struktur zi shlyuzovoyu modellyu yaki ob yednani dovirchimi vidnosinami cherez dovirchogo poserednika Shlyuzovij CSK angl Gateway CA za dopomogoyu mehanizmu kross sertifikaciyi Golovna osoblivist ciyeyi modeli mozhlivist dodavati novi domeni cherez dovirchogo poserednika Shlyuzovij CSK abo insha nazva mist angl Bridge SA yakij vidminnij vid Korenevogo CSK Taka model ob yednuye perevagi Iyerarhichnoyi ta Merezhenoyi modelej Shlyuzovij CSK ne vipuskaye sertifikativ dlya okremih koristuvachiv a lishe zdijsnyuye kross sertifikaciyu mizh domenami na rivni odnorangovih vidnosin Ce dozvolyaye vstanoviti prosti ta prozori vidnosini doviri mizh riznimi ob yednannyami koristuvachiv cherez Shlyuzovij CSK z viznachenim rivnem doviri Perevagi shlyuzovoyi modeli v porivnyanni z merezhevoyu modellyu mozhlivist zastosuvati suvorishu proceduru reyestraciyi uchasnikiv v tomu chisli z urahuvannyam vimog dlya iyerarhichnih CSK pri komprometaciyi bud yakogo z CSK uchasnikiv cej CSK informuye Shlyuzovij CSK i jomu ne potribno mnozhiti informaciyu na vsih CSK uchasnikiv oskilki cyu funkciyu vikonuye Shlyuzovij CSK Inshi perevagi Shlyuzovoyi modeli dozvolyaye legko pidklyuchiti novij CSK derzhateli ta koristuvachi sertifikativ ne povinni zminyuvati yih tochku doviri chi svoyi klyuchi komprometaciya okremogo CSK ne mozhe skomprometuvati usyu strukturu vidnovlennya pislya komprometaciyi prostishe v shlyuzovij modeli nizh v iyerarhichnij Nedoliki shlyuzovoyi modeli podibni tim yaki ye u merezhenoyi Ale shlyahi sertifikaciyi znachno korotshi Problema poyavi ciklichnih shlyahiv sertifikaciyi v Shlyuzovij modeli isnuye ale vona mensh gostra oskilki tut ye yedina struktura Shlyuzovij CSK sho mozhe kontrolyuvati poyavu nayavnist ciklichnih shlyahiv i vidpovidno ne dopuskati yih Prikladi infrastrukturi vidkritih klyuchivUkrayina Prijnyattya u 2003 roci Zakonu Ukrayini Pro elektronnij cifrovij pidpis vidpovidnih postanov Kabinetu Ministriv Ukrayini ta dekilkoh aktiv upovnovazhenih derzhavnih organiv yaki buli spryamovani na zabezpechennya regulyuvannya z boku derzhavi vprovadzhennya v Ukrayini tehnologiyi elektronnogo cifrovogo pidpisu v pershu chergu v derzhavnomu sektori Stvorena na osnovi cogo Zakonu Nacionalna sistema elektronnogo cifrovogo pidpisu NSECP vid imeni derzhavi garantuye yakist ta nadijnist poslug elektronnogo cifrovogo pidpisu ECP NSECP v Ukrayini rozvivalas pid kerivnictvom Derzhavnoyi sluzhbi specialnogo zv yazku ta zahistu informaciyi Ukrayini i Derzhavnogo agentstva z pitan nauki innovacij ta informatizaciyi Ukrayini Paralelno rozbudovuyetsya inicijovana Nacionalnim bankom Ukrayini sistema ECP u bankivskij sferi Stanom na 2014 rik vidpovidno do Pereliku centralnih organiv vikonavchoyi vladi na yaki pokladeno funkciyi tehnichnogo regulyuvannya u viznachenih sferah diyalnosti zatverdzhenogo postanovoyu Kabinetu Ministriv Ukrayini vid 13 bereznya 2002 r 288 na Ministerstvo yusticiyi Ukrayini pokladeno funkciyu tehnichnogo regulyuvannya u sferi elektronnogo cifrovogo pidpisu Vidpovidno do Polozhennya pro Ministerstvo yusticiyi Ukrayini zatverdzhenogo Ukazom Prezidenta Ukrayini vid 6 kvitnya 2011 395 Min yust vikonuye funkciyi centralnogo zasvidchuvalnogo organu CZO regulyuye sferu elektronnogo cifrovogo pidpisu shlyahom akreditaciyi ta derzhavnogo naglyadu za diyalnistyu centriv sertifikaciyi a takozh formuye osnovni napryamki ta zasadi politiki NSECP Ukrayini Diyucha v Ukrayini NSECP za shemoyu sertifikaciyi ta iyerarhiyeyu nalezhit do korenevih Korenevij centr sertifikaciyi CZO vidaye sertifikati pidleglim centram sertifikaciyi vidpovidno zasvidchuvalnim organam abo akreditovanim zareyestrovanim centram sertifikaciyi CSK ACSK AZC NBU i jomu bezposeredno doviryayut kincevi koristuvachi pidleglih centriv sertifikaciyi Vikoristovuyuchi zagalnij sertifikat korenevogo centralnogo zasvidchuvalnogo organu mozhna pereviriti vsi sertifikati koristuvachiv zareyestrovanih ta ACSK a takozh AZC NBU Zgidno zi statteyu 17 Zakonu Ukrayini Pro elektronnij cifrovij pidpis inozemni sertifikati klyuchiv zasvidcheni vidpovidno do zakonodavstva tih derzhav de voni vidani viznayutsya v Ukrayini chinnimi u poryadku vstanovlenomu zakonom Odnak stanom na 2014 rik pravovij mehanizm regulyuvannya viznannya inozemnih sertifikativ klyuchiv vidsutnij U zv yazku z cim odniyeyu z klyuchovih problem yaki postali pered derzhavoyu u sferi nadannya poslug elektronnogo cifrovogo pidpisu ye vidsutnist interoperabelnosti Nacionalnoyi sistemi elektronnogo cifrovogo pidpisu yak u mezhah Ukrayini tak i z inshimi derzhavami Golovnoyu problemoyu yaka postala pered Ukrayinoyu u sferi nadannya poslug elektronnogo cifrovogo pidpisu ye vidsutnist suchasnoyi interoperabelnoyi Nacionalnoyi sistemi elektronnogo cifrovogo pidpisu Nacionalna sistema CSK v Ukrayini maye poyednuvati v sobi funkciyi obslugovuvannya gromadyan ta organizacij Ukrayini i zabezpechuvati mozhlivist yih vzayemodiyi z gromadyanami j organizaciyami YeS Pri yiyi rozbudovi vinikli zavdannya zokrema zabezpechennya vzayemodiyi derzhavnih organiv Ukrayini z oficijnimi organami ta nederzhavnimi organizaciyami derzhav YeS YeS Dosvid krayin Yevropejskogo Soyuzu shodo rozbudovi nacionalnih infrastruktur elektronnogo cifrovogo pidpisu bazuyetsya na polozhennyah Direktivi 1999 93 YeS ta standartah rozroblenih na yiyi osnovi Nacionalni sistemi ob yednani v sistemu kontinentalnogo masshtabu i mayut tehnichnu sporidnenist ta algoritmichnu sumisnist zastosovanih programno tehnichnih rishen v sferi ECP Zokrema prijnyata u YeS komitetom JTC1 sistema ISO IEC vidkrita za viznachennyam i maye vlastivosti interoperabelnosti masshtabovanosti mobilnosti unormovanosti Infrastruktura informacijnogo suspilstva maye zabezpechiti dvi skladovi podannya danih ta zasobi doviri do cih danih Z rozvitkom programi elektronnogo uryadu v krayinah YeS organi derzhavnogo upravlinnya vse shirshe vikoristovuyut elektronni sertifikati dlya bezpeki komunikacij shifruvannya ta elektronnogo pidpisu v tomu chisli v mizhderzhavnih vidnosinah v mezhah YeS Vinikla neobhidnist vstanovlennya vidnosin doviri mizh CSK yaki vikoristovuyutsya nacionalnimi organami derzhavnogo upravlinnya Ce neobhidno dlya togo shob derzhavni sluzhbovci derzhav YeS mogli vikoristovuvati elektronni sertifikati vipusheni yih nacionalnimi CSK v zalnoyevropejskij pan European derzhavnij merezhi U zv yazku z cim osnovnoyu metoyu ye vstanovlennya sistemi vzayemnoyi doviri mizh CSK yevropejskih derzhavnih nederzhavnih organiv Ce dast zmogu pidpriyemstvam i gromadyanam yaki volodiyut elektronnimi sertifikatami vipushenimi nacionalnimi CSK derzhavnimi ta nederzhavnimi vzayemodiyati v mezhah YeS yak mizh soboyu tak i z derzhavnimi organami ta v elektronnij komerciyi YeS Tradicijna model infrastrukturi z vidkritimi klyuchami PKI Public Key Infrastructure daye zmogu virishiti pitannya shodo vstanovlennya vidnosin doviri mizh CSK cherez mehanizm kros sertifikaciyi cross certification Dlya pobudovih Nacionalnih IVK v SShA Kanadi YeS tosho vikoristano model Shlyuzovogo CSK angl Bridge SA abo angl Gateway CA V YeS iniciativa European Bridge CA bula inicijovana Dojche bankom Deutsche Bank ta Dojche Telekomom Deutsche Telekom Zorkema v YeS vikoristovuyetsya Derzhavnij shlyuzovij CSK Bridge SA BGCA angl Bridge Government Certificate Authority priznachenij zabezpechiti takij stupin doviri yakij neobhidnij dlya vikoristannya elektronnih sertifikativ yak na nacionalnomu tak i na yevropejskomu rivnyah Vidpovidna robocha programa YeS shodo stvorennya Bridge SA VSA na rivni YeS bula rozpochata v 2001 r Bazoyu dlya programi Bridge SA buv proekt RKI dlya zamknutih grup PKICUG angl Public Key Infrastructure for Closed User Groups koristuvachiv YeS yakij buv rozpochatij v sichni 1999 r yak chastina programi Obminu danimi mizh uryadami IDA angl Interchange of Data between administrations sho priznachena dlya rozvitku ta vikonannya mizh uryadami krayin YeS elektronnogo obminu danimi cherez trans yevropejski merezhi Minimalnimi vimogami YeS shodo standartiv i specifikacij dlya Dovirchogo centru ye poslugi sertifikaciyi ta spiski vidklikanih sertifikativ Dovirchogo centru povinni vidpovidati Internet standartam neobhidnim dlya pidtrimki infrastrukturi vidkritogo klyucha ta vidpovidnim specifikaciyam sluzhbi katalogu merezhi domenu Dovirchogo centru mayut buti sumisni shonajmenshe zi standartom X 500 ta pidtrimuvati LDAP zapiti dotrimannya standartiv ETSI European Telecommunications Standards Institute shodo centriv sertifikaciyi klyuchiv yaki vipuskayut prosti ne regulovani derzhavoyu sertifikati vidkritih klyuchiv ta posileni sertifikati PrimitkiGoncharova L L Voznenko A D Stasyuk O I Koval Yu O 2013 4 5 Algoritmi z vikoristannyam klyuchiv PDF Derzhavnij ekonomiko tehnologichnij universitet transportu Arhiv originalu PDF za 16 travnya 2017 Procitovano 14 lipnya 2017 3 Public Key Infrastructures PDF T 800 32 NIST 26 February 2001 Arhiv originalu PDF za 5 chervnya 2018 Procitovano 14 lipnya 2017 Gorbatov V S Polyanskaya O Yu 2004 2 Struktura servisy i arhitektura PKI Osnovy tehnologii PKI M Goryachaya liniya Telekom s 248 ISBN 5 93517 154 6 NIST 800 32 3 1 PKI Components k f m n Martinenko S V PDF Arhiv originalu PDF za 21 sichnya 2022 Procitovano 18 lipnya 2017 NIST 800 32 3 1 1 Certification Authorities Sergij Valentinovich Byelov Sergij Vasilovich Martinenko 2005 PDF Zbirnik naukovih prac IPME im G Ye Puhova NAN Ukrayini 28 68 79 Arhiv originalu PDF za 5 bereznya 2017 Procitovano 18 lipnya 2017 Kostenko O V 2014 Stvorennya Dovirchogo centru Ministerstva yusticiyi Ukrayini vikno derzhavi u svitovij prostir elektronnogo cifrovogo pidpisu Byuleten Ministerstva yusticiyi Ukrayini 3 142 149 LiteraturaGoncharova L L Voznenko A D Stasyuk O I Koval Yu O 2013 PDF Derzhavnij ekonomiko tehnologichnij universitet transportu Arhiv originalu PDF za 16 travnya 2017 Procitovano 14 lipnya 2017 PDF NIST 26 February 2001 Arhiv originalu PDF za 5 chervnya 2018 Procitovano 14 lipnya 2017 EuroPKI Certificate Policy PDF EuroPKI sichen 2004 Gorbatov V S Polyanskaya O Yu 2004 Osnovy tehnologii PKI M Goryachaya liniya Telekom s 248 ISBN 5 93517 154 6 S E Ostapov S P Yevseyev O G Korol 2013 Tehnologiyi zahistu informaciyi navchalnij posibnik H Vid HNEU Div takozhAkreditovanij centr sertifikaciyi klyuchiv Elektronnij cifrovij pidpis Perelik standartiv dlya ECP Ukrayina PosilannyaNormativno pravovi akti Ukrayini u sferi elektronnogo cifrovogo pidpisu 4 lipnya 2017 u Wayback Machine Ce nezavershena stattya z kriptografiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi