Модели доверия PKI © Учебный Центр безопасности информационных
Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения
Содержание лекции Доверие в PKI Модели доверия Сравнительный анализ моделей доверия Построение пути сертификации Проверка пути сертификации Примеры моделей доверия Библиография Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Понятие доверия в PKI Доверие – интуитивное понятие, отражающее степень уверенности в том, что некая сущность будет вести себя предполагаемым образом. Уровень доверия определяется мерой определенности во взаимоотношениях доверяющих сторон. Включает: Домен доверия Модель доверия “Якорь” доверия Отношения доверия Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Домены доверия Домен доверия – множество PKI-систем, объединенных единым управлением или являющихся субъектами некоторого общего набора политик безопасности. Выделение доменов доверия и их границ – один из первых этапов в построении PKI. Формирование доменов по: географическому признаку организационному признаку структуре бизнес-процессов Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
“Якорь” доверия Мы доверяем некоторому цифровому удостоверению на основании того, что оно, или его издатель, в свою очередь, сертифицированы заслуживающим доверия органом. Этот орган называется “якорем” доверия. Идентификация “якоря” доверия: На основе прямой проверки На основе рекомендаций авторитетных лиц Доверие по отношению к самому себе Транзитивное доверие Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Отношения доверия Отношения доверия устанавливаются между двумя ЦС, когда один или оба из них выпускают сертификат открытого ключа другого ЦС. Типы отношений доверия: односторонние: имеют место при переходе из домена с более высоким уровнем безопасности и в домен с более низким уровнем двусторонние: имеют место при связывании ЦС различных доменов с эквивалентным уровнем безопасности Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Классификация моделей доверия Вероятностные модели доверия Модель PGP Модель Маурера Модель Джосанга Детерминированные модели доверия Иерархическая модель Сетевая модель Мостовая модель Списки доверия Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Иерархическая модель Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Сетевая модель Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Мостовая модель Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Гибридная модель Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Сравнительный анализ моделей доверия Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Построение пути сертификации Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004 Исходные данные: Проверяемый сертификат Сертификат “якоря” доверия Идентификация сертификата в цепочке: Отличительное имя Уникальный идентификатор ключа Локализация сертификата в сетевом каталоге Оптимизация пути сертификации: Сертификаты из одного пространства имен Путь минимальной длины Ограничения: Исключение дублированных сертификатов (предотвращение циклов) Построение пути сертификации осуществляется в прямом (для иерархических моделей) и обратном (для сетевых моделей) направлении
Эвристика Cygnacom Приоритеты: Обычный сертификат перед кросс-сертификатом Сертификаты с заявленными политиками, соответствующими требуемым Сертификаты с любыми заявленными политиками Сертификаты с наименьшим RDN в DN издателя Сертификаты с наименьшей разницей DN издателя и DN “якоря доверия” Сертификаты с наименьшей разницей DN издателя и DN владельца Сертификаты с наибольшим сроком действия в будущем Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Проверка пути сертификации Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Ограничения на пространство имен При переходе в другой домен доверия доверие уменьшается. Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Ограничения на диапазон политик В процессе отображения или наследования политик доверие уменьшается. Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Ограничения на длину цепочки С ростом длины пути сертификации доверие уменьшается. Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Модель Identrus Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Модель FBCA Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Библиография (1) J. Linn. Trust Models and Management in Public-Key Infrastructures. RAS Technical Report, November, 2000 U. Maurer. Modelling a public-key infrastructure. In E. Bertino, H. Kurth, G. Martella, E. Montolivo. Computer Security –ESORICS '96, LNCS 1146, Springer Verlag, 1996 Cross-Certification and PKI Policy Networking. http://www.entrust.com/resourcecenter/pdf/cross_certification.pdf Identrus LLC: Identrus Public Key Infrastructure and Certificate Profiles. Version 4.7 of March, 27th, 2001 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
Библиография (2) Moses T. PKI trust models. IT University of Copenhagen, Courses, updated February 20, 2004 S. Lloyd. Understanding Certification Path Construction. Whitepaper, September, 2002. http://www.pkiforum.com Path Development API – Interface Control Document, Cygnacom Solutions. http://www.entrust.com/entrustcygnacom/cert/CPL_1_3_ICD.doc B. Komar. Troubleshooting Certificate Status and Revocation, Microsoft Technical Paper. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/tshtcrl.asp Технология PKI и ее реализация на платформе Microsoft .NET Лекция 3: Модели доверия PKI © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004
6-03._modeli_doveriya_pki.ppt
- Количество слайдов: 22