ot Rumen(4-08-2004)

reiting (29)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Razrabotchitsite na Ueb-uslugi i korporativni prilozheniia triabva da napraviat svoia softuer siguren. Tui kato kriptografiiata sama po sebe si ne pravi edna sistema sigurna, to za razrabotchitsite e vazhno da imat stabilni znaniia za bazovata teoriia na kriptiraneto i tehnologiite stoiashti zad nego, taka che da mogat da vzemat obosnovani resheniia za tova dali da prilagat kriptografski tehnologii ili ne. I ako gi prilagat kak da go napraviat.

V nastoiashtata statiia zapochvame izsledvane na bazovata prilozhna kriptografiia, chrez razglezhdane na infrastrukturata s publichni klyuchove (PKI), i po-konkretno: klyuchove, sertifikati, i doverie (dostovernost), zaedno s niakoi prakticheski primeri za generirane na klyuchove i zadachi po upravlenie na sertifikati. Pulnoto opisanie na mnogo ot tezi poniatiia chesto izliza izvun obhvata na tazi statiia.

OSNOVI NA KRIPTOGRAFIQTA

Kriptiraneto preobrazuva taka informatsiiata, che tia da stane nechetima za vseki, koito ne znae opredelena "taina", a dekriptiraneto e obratnoto na tazi operatsiia :-). Realno izpolzvaniiat metod za kriptirane se naricha kriptografski algoritum, a "tainata" se naricha klyuch. Nai-obshto sushtestvuvat dva klasa kriptografski algoritmi: simetrichno kriptirane i asimetrichno kriptirane (chesto narichano kriptirane s publichen klyuch).

SIMETRICHNO KRIPTIRANE

Povecheto simetrichni kriptirashti algoritmi izpolzvat edin klyuch za kriptirane i za dekriptirane. Tozi klyuch triabva da se predava po niakakuv "siguren" nachin, s drugi dumi tova mozhe da porodi problemi. Sravneno s kriptiraneto s publichen klyuch simetrichnoto kriptirane e dosta efikasno (burzo) -- v puti po-burzo, realno, tova pravi algoritmite za simetrichno kriptirane privlekatelni. Vupreki tova, ako simetrichniiat klyuch e komprometiran, tainata izchezva, a s tova izchezvat i vsichki polzi, sledvashti ot izpolzvaneto na kriptirane vuobshte.

KRIPTIRANE S PUBLICHEN KLYUCH

Kriptiraneto s publichen klyuch izpolzva dvoika klyuchove, sustavena ot chasten klyuch i publichen klyuch. Publichniiat klyuch mozhe da bude publikuvan (ottuk i imeto) bez da se razkriva nishto otnosno chastniiat klyuch. Danni kriptirani s publichen klyuch mogat da budat dekriptirani samo s pomoshtta na chastniiat klyuch na poluchatelia. Obratnoto sushto taka e viarno: danni kriptirani s chastniiat klyuch mogat da budat dekriptirani samo s suotvetniiat mu publichen klyuch. Tui kato vseki mozhe da pritezhava Vashiiat publichen klyuch, tova ne e dobur podhod za skrivane na informatsiia, no toi puk e perfekten za tsifrovi podpisi. Ako niakoi uspeshno dekriptira suobshtenie, izpolzvaiki Vashiiat publichen klyuch, toi shte sa siguren za dve neshta: Vie ste kriptirali suobshtenieto (ili pone go e napravil sobstvenika na Vashiia chasten klyuch) :-) i che suobshtenieto ne e bilo promeniano sled kato e kriptirano (v protiven sluchai dekriptiraneto shte se provali).

Tui kato kriptiraneto s publichen klyuch e bavno v sravnenie sus simetrichnoto kriptirane, negovata upotreba obiknovenno se ogranichava do tsifrovi podpisi i predavaneto na simetrichnite klyuchove.
.
INFRASTRUKTURA S PUBLICHEN KLYUCH (PKI)

Infrastrukturata s publichen klyuch (PKI) e imeto na sistema ot kriptografski algoritmi -- softuer i infrastruktura, izpolzvani pri prilaganeto na sigurni uslugi, kato konfidentsialnost, identifikatsiia, avtorizatsiia, i dostovernost. V iadroto na PKI stoi izpolzvaneto na sertifikati s publichni klyuchove.

SERTIFIKATI

Sertifikat, oshte izvesten i kato X.509 sertifikat ili sertifikat s publichen klyuch, e fail, koito svurzva publichen klyuch (ot asimetrichna dvoika klyuchove) sus identichnost (obiknovenno chovek, kompyutur, ili korporativna edinitsa). Tezi sertifikati sudurzhat spomenatiiat publichen klyuch, dopulnen ot informatsiia koiato mozhe ednoznachno da identifitsira subekta na sertifikata (t.e. ime, organizatsiia, mestopolozhenie), perioda na validnost na sertifikata, izdavashtata strana (sertifikatsionnata organizatsiia) i detaili, otnosno izdavaneto na sertifikata, kato naprimer tsiforviia podpis na izdavashtata strana (organizatsiia).

SERTIFIKATSIONNI ORGANIZATSII

Sertifikatsionnite organizatsii (CAs) sa dovereni organizatsii, koito predlagat uslugi za generirane na sertifikati, izdavane, i otmiana. Osnovno sushtestvuvat dve klasifikatsii za CA: podchineni CAs, tezi chiito podpisvasht sertifikat e ot svoia strana podpisan ot druga CA; i bazovi (root) CAs, koito izdavat i podpisvat sus svoi sobstven podpisvasht sertifikat.

DOVERIE

Edno ot klyuchovite iziskvaniia stoiashto zad motivite za izpolzvane na PKI e poniatieto za razpredeleno doverie. Naprimer, kak az, potrebitelia da viarvam na tvurdenieto, che saita na koito shte izpratia informatsiiata za moiata kreditna karta naistina prinadlezhi na firmata na koiato pretendira che prinadlezhi? Reshenieto na tozi problem lezhi v izpolzvaneto na sertifikati.

Ako, po vreme na zarezhdane na vuprosnata Ueb-stranitsa, survura purvo mi izprati svoia publichen sertifikat za proverka, to toi mozhe po-kusno da kriptira vsichki sledvashti danni, koito mi izprashta, izpolzvaiki chasten klyuch, suotvetstvasht na publichniia ot negoviia sertifikat. Az bih mogul da izpolzvam sertifikata na survura za da se uveria, che informatsiiata ot zaredenata Ueb-stranitsa naistina idva ot sobstvenika na sertifikata, tui kato samo publichniiat klyuch ot sertifikata mozhe da dekriptira, dannite kriptirani predi tova s chastniiat klyuch na survura.

Dotuk dobre, obache vse oshte imame problema s identichnostta. Vupreki, che znam che dannite koito poluchavam naistina se predavat ot survura, koito mi e izpratil sertifikata, az ne znam nishto za tozi survur, s izklyuchenie na tova che toi mi izprashta kriptirani danni. Edno vuzmozhno reshenie na tozi problem shte bude da otida s kolata do ofisa, da se ubedia che biznesa e zakonen (korekten), i personalno da se sreshtna s predstavitel na firmata, koito oshte tam da mi dade fail sus sertifikata na survura na firmata. Sled tova moga da zanesa faila u doma i da go dobavia kum kolektsiiata ot sertifikati na koito imam doverie, tui kato personalno sum se ubedil v negoviia proizhod. Obache tova reshenie na praktika ne raboti dobre.

Sledovatelno, za da bude PKI realno ot polza, tezi otnosheniia na doverie triabva da rabotiat s stotitsi, hiliadi, ili vuzmozhno milioni sertifikati, no triabva da go praviat po takuv nachin, che da ne se iziskva potrebitelia personalno da proveriava vseki edin. PKI reshenieto na tozi problem e v izpolzvaneto na otnosheniia po prehvurliane na doverie.

Prehvurlianeto na doverie raboti po sledniiat nachin. Da priemem, che sushtestvuvat dvama choveka, Alis i Bob, koito se poznavat i si viarvat edin na drug. Posle, Bob ima priiatelka, nepoznata na Alis,:-) s ime Kasandra, na koiato toi viarva.

Tui kato Alis viarva na Bob, koeto po prezumtsiia mozhe da se razshiri taka che tia da viarva i na izbora na Bob na priiateli, Alis togava mozhe tranzitivno (s prehvurliane) da viarva i na Kasandra.

Tova e nachina po koito CAs se izpolzvat v PKI. Vmesto da triabva izrichno da se viarva po otnoshenie na vseki sertifikat, koito sreshtnete, mozhe da se viarva samo na niakolko CAs. Togava, ako sertifikat, koito sreshtnete e bil izdaden (ili podpisan) ot edin ot tezi niakolko oblecheni v doverie CAs, Vie mozhete tranzitivno da viarvate na tozi sertifikat. Po tozi nachin PKI reshava problema s golemiia obem sertifikati.

Za neshtastie, tova e i slabo miasto na PKI, tui kato se zalaga prekaleno mnogo doverie v "doverenite CAs". Tova obache, e tema na statiia[1] ili statiia[2].
Vruzki:
[1]http://www.counterpane.com/pki-risks.html
[2]http://www.apache-ssl.org/7.5things.txt
Original:
http://www.newsforge.com/article.pl?sid=04/07/29/155212

PS: Veche sum prevedel i vtorata chast, no iskam purvo da testvam primerite i da si doiziasnia niakoi neshta i togava da ia pusna.
Priiatno chetene


<< Sigurni Ueb-uslugi: osnovi na PKI - CHast 2 (prevod) | Svurzhete OpenOffice.org kum PostgreSQL (prevod) >>