ز ي ر ساخت كليد عمومي و گواهي هويت
DESCRIPTION
ز ي ر ساخت كليد عمومي و گواهي هويت. اهداف. تب يي ن مشکلات مد ي ر ي ت کل ي د ارا ي ه ز ي رساخت کل ي د عموم ي به عنوان راه حل ب ي ان مفاه ي م مربوط به گواه ي ها و مولفه ها و معمار ي ها ي متفاوت ز ي رساخت کل ي د عموم ي. فهرست مطالب. مفاه ي م وکل ي ات زير ساخت كليد عمومي گواه ي - PowerPoint PPT PresentationTRANSCRIPT
2 مركز امنبت شبكه شريف
اهداف
ديت کليرين مشکالت مدييتببه عنوان راه حليد عموميرساخت کليه زيارا ها و مولفه ها و يم مربوط به گواهيان مفاهيب
يد عموميرساخت کلي متفاوت زيهايمعمار
3 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد عموميات يم وکليمفاه يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي PKI ي د عمومير ساخت کليزمعماريPKI
4 مركز امنبت شبكه شريف
.مراجعه نماييد لغت نامه دياسال ترجمه ها به يسيدن معادل انگلي ديبرا
د واژه هايکل :
5 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد ات يم وکليمفاه عمومي
يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي
PKI ي د عمومير ساخت کليزمعماريPKI
6 مركز امنبت شبكه شريف
1 يد عموميع کليمساله توز
يادي تا حد زيد عمومي کليبا استفاده از رمزنگاری ( را حل شده است اما...يد )خصوصيع کليمشکالت توز
فرض کنRد يScott Rک زوج کليRوميRيد عمRتهي وخصوص RريRد و سRيه کن Y عا
کندي معرفBill يRد عموميR را Rبه همگانR تحت Rعنوان کليRد عموميکRل
ياطالعات محرمانه برا Billشوديد رمز مين کلي با ا
اRنه تنهBillه اRي بRات دسترسRه ين اطالعRدارد، بلکRن Scottتن کلRا داشRب Rد ي
RصRيخصوRم متنRاظر محRرمانRه ي عRات RاطالR هRب دسترسBillRتوانRد پي Rا يRد
د.ينما
7 مركز امنبت شبكه شريف
ديع کليراه حل توز
ل مرتبط با ير مساين مساله و ساي حل ايبرا (PKI) زير ساخت كليد عموميد از يت کليريمد
م.يبري بهره ميو گواه
8 مركز امنبت شبكه شريف
زير ساخت كليد عمومي (PKI)
PKIل مرتبط با ي مساي برايي مجموعه راه حلهال:ير موارد از قبيد عمومی و سايع امن کليتوز
ديد کليتوليگواهد ييد، ابطال و تايتولن اشخاصي بياعتماد ساز
9 مركز امنبت شبكه شريف
زير ساخت كليد عمومي (PKI)
اجزاء (PKI) زير ساخت كليد عمومي به کار ياز برايو خدمات مورد ن
بر ي مبتنيستمهاي سي عمليريگ آورد.ي را فراهم ميد عموميکل(A. Nash, RSA Press )
10 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد ات يم وکليمفاه عمومي
يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي
PKI ي د عمومير ساخت کليزمعماريPKI
11 مركز امنبت شبكه شريف
(Certificate) يگواه
د رسمي براي تضمين ستنگواهي م. استتعلق شناسه به كليد
تواند شامل اطالعات مربوط به:ي ميگواهدي کلدي شناسه صاحب کلدينوع کاربرد کلدوره اعتبار سنداستفاده كليدو شناسه صحت ي بررسي تواند براي که مياطالعات
شود
12 مركز امنبت شبكه شريف
اعتماد يک گواهيچگونه به م؟يکن
د ي باين گواهيم اي اعتماد کنيگ گواهينکه به ي ايبرا که مورد اعتماد ماست امضاء شده يتوسط شخص
باشد.
کي وجود يجاد اعتماد سراسري ايمبناشخص ثالث مورد اعتماد
باشد.يهمگان م
مينامي مCA يمرجع صدور گواهن شخص را يا
13 مركز امنبت شبكه شريف
مدل اعتماد
يق گواهير تصدي + مسيمرجع صدور گواه مبنا يک مرجع صدور گواهيهمگان به (root CA)
اعتماد دارند به عنوان مثال (Verisign, Thawte, Entrust, BT,
(پیوست …يد عموميد کليفرض کن CAان يت در مي با حفظ امن
شود.يتمام کاربران منتشر م... به عنوان مثال: با روشهای فیزیکی، درج در اخبار امکان پذیر است زیرا این کار تنها برای یک نقطه
انجام میشود.
14 مركز امنبت شبكه شريف
مدل اعتماد
CAيتاليجي شخص به طور ديد عمومي کل کند.يامضاء م
.عالوه بر کلید اطالعات جانبی نیز درج میشوندت کاربر برای يبرای صدور گواهی باید هوCA احراز
شود.
CAز به عنوان مراجع ي را نيگريتواند نقاط دي مد.ي منصوب نمايصدور گواه
15 مركز امنبت شبكه شريف
ویژگیهای گواهی کلید عمومی
جامعيت گواهي به راحتي قابل كنترل است. هر
تغييري در آن به سادگي كنترل ميشود.
گواهي هذخيریا ارسال و نیازی به رمزگذاری در
نیست.
ي گواهي به كليد عمومي ابراي خواندن محتوCA
نياز داريم.
16 مركز امنبت شبكه شريف
X.509 يگواه
محصول ITU-T و بخشي از توصيههاي سري X.500
گواهي X.509 در S/MIME، IPSec، SSL/TLS ،و SET .استفاده شده است
17 مركز امنبت شبكه شريف
X.509 يگواه
: CA << A << براي صدور گواهی به معناياست.CAتوسط مرجع A كاربر
همه كاربران در محدودة يك CA: وجود اعتماد)بررسی صحت( ي نيبازبمشترك و امكان
.گواهي صادره
18 مركز امنبت شبكه شريف
X.509 يکل ينماCertificate Authority Digital Signature
of All Components Together:
Serial Number
Issuer X.500 Distinguished Name
Validity Period
Subject X.500Distinguished Name
Subject Public KeyInformation
Key/Certificate Usage
Extensions
19 مركز امنبت شبكه شريف
X.509 ياپي پينسخه هاVersion
Parameters
Certificate Serial Number
Algorithm
Issuer Name
Not Before
Not After
Subject Name
Algorithms
Key
Issuer Unique Name
Extensions
Encrypted
Parameters
Subject Unique Name
Algorithms
Parameters
Signature Algorithm Identifier
Period of Validity
Subject’s Public Key
Info
Signature
Ver
sion
1
Ver
sion
3
Ver
sion
2
All
Ver
sion
s
21 مركز امنبت شبكه شريف
يک گواهي ينينحوه بازب
تاليجي صحت امضاء دي عبارتست از بررسي گواهيني، بازبيبه طور اساس
يد عموميفرض : کل CAت منتشر شده ي مورد اعتماد کاربر با حفظ امناست.
باشد.يار مي مورد اعتماد در اختيد عموميک کليگر يان ديبه ب
د صحت امضاء يحال باCAم.ي کني را بررسي گواهي بر روموارد که کاربر يدر برخ CAد تا يمايها را بپيره گواهيد زنجيشناسد باي را نم
مبنا برسد.يبه ورجع صدور گواه
ز ي را نيک گواهي يدانهاير ميد ساين بسته به کاربرد و زمان، بايهمچنم. ي کنيبررس
23 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد ات يم وکليمفاه عمومي
يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي
PKI ي د عمومير ساخت کليزمعماريPKI
24 مركز امنبت شبكه شريف
د ير ساخت کلي زوظايف PKI يعموم
ابطال گواهي( نسخهبرداري و بازيابي كليدBackup & Restore)انكارناپذيري امضاءهاي رقميبروزآوري خودكار زوج كليد-گواهي هامديريت سابقه كليدهاپشتيباني از cross-certification نرمافزار طرف كارفرما براي تعامل امن و مطمئن با
موارد باال.
25 مركز امنبت شبكه شريف
اعدم اعتبار گواهي يمساله يد عموميکل
فرض کنRد يBill Rک زوج کليRوميRيد عمRتهي وخصوص Rد ويRکل ه کنRوميRهيد عمRورت را بRص
کندي به همگان معرفيامن
ياطالعات محرمانه برا Billشوديد رمز مين کلي با ا
نکه ...يتا ا
ر مجاز توسط ي غيل به روشي بيد خصوصيکل Scott شودي کشف م
Scottتن کلRا داشRب RيRاظر ميد خصوصRه ي متنRات محرمانRه اطالعRد بRتوانBillRپي دسترس Rدا ي
د بRازRهم Rممکن اسRت يRض نRمايد را RتعRويRن مRاجرا RمطلRع شRودR و Rکلي از اBill اگRر يRد حRتيRنمRا
باشRد.يR کماکRان دRر معRرض خRطRر مBillنRد و RاطالعRات ي اسRتفادRه نمايد قبRليRگRران Rاز کليRد
26 مركز امنبت شبكه شريف
چند در مورد ابطال ينکات يگواه
ر قابل انکار است. يت غيک واقعيد يافشاء کلت صاحب يا موقعير سمت يين امکان تغيهمچن
د وجود دارد.يکلد باطل شود.يد کلينگونه موارد، بايدر ا
ک شخص مورد اعتماد يد از جانب ي بايابطال گواهاعالم شود.
ي ابطال گواهيگواه
به اطالع همگان برسد.يد ابطال گواهيبا
27 مركز امنبت شبكه شريف
ياعالم ابطال گواه
ست:ي آسان نياعالم ابطال گواه
ي ابطال گواهياز فهرست ها CRLن يشود. اي استفاده م ليستي از گواهيهاي منقضي نشده بي اعتبارفهرستها شامل
امضاء شده است.CAباشند که توسط يم
بنا براين فرآيند بازبيني يک گواهي بايد به طور مداوم اينفهرست را بررسي کند.
شودي ميرياس پذيمقنه ي در زمين امر منجر به مشکالتيا
28 مركز امنبت شبكه شريف
:مشکل ي اعالم ابطال گواهيفرهنگ
ا Y کنند.ير فعال مينه را غين گزيکاربران عمدتا
لين دليبه همکوتاه بودن زمان انقضاء باشد.يح ميدها مورد ترجي کل
30 مركز امنبت شبكه شريف
نسخهبرداري و بازيابي كليد
دو دليل براي نسخه برداري كليد فراموشي كلمه رمز که منجر به از دست دادن دادههاي
حساس ميشود. حتي رمز نكردن به خاطر ترس از گمشدن كلمه رمز وجود
دارد. گم شدن، دزديده شدن، و يا خرابي رسانهاي كه كليدها
روي آن ذخيره شده است.
بايد مركزي براي بازيابي كليد وجود داشته باشد.
31 مركز امنبت شبكه شريف
2نسخهبرداري و بازيابي كليد -
عدم انكار دليلي بر عدم نسخهبرداري كليد.انكار يعني اعالم عدم دخالت در يك تراكنش
.در فرم كاغذي امضاء اين كار را كنترل ميكند .در فرم الكترونيكي: امضاء رقمي
32 مركز امنبت شبكه شريف
3نسخهبرداري و بازيابي كليد -
تنها عدم انكار مستلزم توليد و ذخيرة امن كليد امضاءدر محدوده تحت كنترل كاربر است
کلید خصوصی نبايد از آن Backup .گرفت
ضرورت نداردنیزاز نظر فني : د.نموتوليد و استفاده برای رمزگذاری مجزازوج كليد میتوان
. دو زوج كليد براي هر كاربر الزم استنيبنابر ا
33 مركز امنبت شبكه شريف
1- كليدهاهمديريت سابق
:نبايد كليدها ابدي باشند. پس بايد.كليدها را بروز آورد بروزآوري كليد بايد شفاف باشد، در نتيجه کليدها
بايد قبل از انقضاء بروز آيد.
34 مركز امنبت شبكه شريف
2- كليدهاهمديريت سابق
:برای کلید های رمز گذاری سابقه زوج كليدهاي قبلي را نگهداشت تا دادههاي
رمز شده با زوج قبلي قابل رمزبرداري باشند. .توسط نرمافزار طرف كارفرما انجام ميشود
نقطه مقابل: وقتي كليدهاي امضاء بروز ميآيندكامال نابود شوند!کلید خصوصی بايد
35 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد ات يم وکليمفاه عمومي
يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي
PKI ي د عمومير ساخت کليزمعماريPKI
36 مركز امنبت شبكه شريف
د ير ساخت کليز مؤلفه هايPKI يعموم
تا حال صادر كننده را مسئول توليد، مديريت، و تلقي كرده ايم.CRLتوزيع گواهي و
PKI از تعدادي مؤلفه تشكيل شده است كه هركدام بخشي از وظايف را به خوبي انجام
مي دهند...
37 مركز امنبت شبكه شريف
PKI مؤلفه هاي
چهار مؤلفه اصلي :ا ي يمرجع صدور گواهCA ا ي يسيمرجع نام نوRAكنترل محتواي ي برا
گواهي و اطمينان از تعلق به دارنده آن.ابطال يفهرست هاتوزيع گواهي ها و ي برارهانبا
حداكثر كارآيي و دسترس پذيري الزم.با ها يگواهدراز ينگهدار انباره طوالني و امن براي يگانيبا
اطالعاتمدت
39 مركز امنبت شبكه شريف
user registration
user initialization
keyinstallation
normal useof the key
archival
key de-registrationand destruction
keyrecovery
revocation
key generation
keyupdate
keyregistration
new key
new user
existinguser
keybackup
new key
directory
old key(expired)
cryptoperiod expiry
initialkey
recoveredkey
key loss nocompromise
keycompromise
keyestablishment
protocol
KEY STATE
preop
op
postop
ob
key movement
system trigger
40 مركز امنبت شبكه شريف
CAمرجع صدور گواهي يا
ک يCA شناخته كليد عمومي و نام با دو صفت مجموعه اي از از يي. و مجموعه امي شود
باشد.ي مسخت افزار، نرم افزار، و اپراتورها
41 مركز امنبت شبكه شريف
CAوظايف
ي كاربران و يا را )توليد و امضاء( بصدور گواهيها.CAديگر
و صدور فهرست نگهداري وضعيت گواهي ها .CRLهاي ابطال گواهي
42 مركز امنبت شبكه شريف
RAمرجع نام نويسي يا
ي تأييد هويت متقاضيهاروشRA قبل از ارائه در خواست به CA اطالعات الزم را
جمع آوري و كنترل مي كند: مراجعه شخص، تأييد هويت. زوج كليد توليد كرده باشد همان Y CAبه کلیدها اگر قبال
ارسال مي شود. در غير اين صورت يك هويت شناسي يكبار مصرف
ارائه دهد.CAمي گيرد تا پس از توليد به
43 مركز امنبت شبكه شريف
فهرست مطالب
زير ساخت كليد ات يم وکليمفاه عمومي
يگواه ي د عمومير ساخت کليز وظايفPKI يد عمومير ساخت کليز مؤلفه هاي
PKI ي د عمومير ساخت کليزمعماريPKI
44 مركز امنبت شبكه شريف
د ير ساخت کليزمعماري PKIي عموم
مادام كه دارندگان گواهي از يكCA گواهي گرفته باشند مسئله ساده است.
وقتي كه دارندگان گواهي ازCA هاي مختلفگواهي گرفته باشند چگونه اعتماد كنند؟
يد عمومير ساخت کلي زمعماري ساده : تنها يكCAهرگونه اشكال منجر به : در سازمان
Y صدور مجدد گواهي ها. لطمه ديدن اعتماد و احتماال
45 مركز امنبت شبكه شريف
گواهي متقابل
چند شامل محيط بزرگک ي CA يا درختي ازCA ها د.يريرا در نظر بگ
هر CA به كاربران خود سرويس ميدهد و لي بهديگر هم يك گواهي نزد خود دارد. CA ازاء هر
با فرض A و B ومربوط به د CA مختلفX1 وX2
X1 <<X2>> X2 <<B>> O
X2 <<X1>> X1 <<A>> O
50 مركز امنبت شبكه شريف
لغت نامه
Non Repudiation
عدم انكار
Revoke ابطال
Components اجزاء
Repository انباره
Expiration انقضاء
Verify بازبيني
Restore بازيابي
Archive بايگاني
Integrity جامعيت
Services خدمات
Media رسانه
Public Key Infrastructure
زير ساخت كليد عمومي
Hierarchical سلسله مراتبي
Trusted Third Party
شخص ثالث مورد اعتماد
Transparent شفاف
ID شناسه
Server Side طرف كارفرما
Certificate Revocation List
فهرست ابطال گواهي
Certificate گواهي
Cross-certification
گواهي متقابل
Key Management
مديريت کليد
Registration Authority
مرجع ثبت نام
Certificate Authority
مرجع صدور گواهي
Mesh مشبک
Scalability مقياس پذيري
field ميدان
Back Up نسخهبرداري