Julkisen avaimen infrastruktuuri

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 8.6.2019 tarkistetusta versiosta . vahvistus vaatii 21 muokkausta .

Julkisen avaimen infrastruktuuri ( PKI , englanniksi PKI - Public Key Infrastructure ) - joukko työkaluja (teknisiä, materiaalisia, inhimillisiä jne.), hajautettuja palveluita ja komponentteja, joita käytetään yhdessä tukemaan yksityisiin ja julkisiin avaimiin perustuvia salaustehtäviä. PKI perustuu julkisen avaimen salausjärjestelmän käyttöön ja useisiin perusperiaatteisiin:

yksityinen avain on vain sen omistajan tiedossa;
varmentaja (CA tai CA - Varmenteen myöntäjä) luo sähköisen asiakirjan - julkisen avaimen varmenteen , mikä varmistaa, että yksityinen (salainen) avain on yksinomaan tämän varmenteen omistajan tiedossa, julkinen avain (julkinen avain) on vapaasti lähetetty;
kukaan ei luota toisiinsa, mutta kaikki luottavat varmentajaan;
varmentaja vahvistaa tai kieltää julkisen avaimen kuulumisen tietylle henkilölle, joka omistaa vastaavan yksityisen avaimen.

Historia

Epäsymmetriset salaukset alkoivat vuonna 1976 julkaistussa Whitfield Diffien ja Martin Hellmanin teoksessa New Directions in Modern Cryptography . Ralph Merklen julkisten avainten jakelua koskevien töiden vaikutuksesta he ehdottivat menetelmää salaisten avainten johtamiseksi julkisen kanavan avulla. Tämä eksponentiaalinen avaintenvaihtomenetelmä, joka tunnettiin nimellä Diffie-Hellman-avaintenvaihto , oli ensimmäinen julkaistu käytännön menetelmä salaisten avainten jakamiseen kanavan todennettujen käyttäjien välillä. Vuonna 2002 Hellman ehdotti algoritmin kutsumista "Diffie-Hellman-Merkleksi", tunnustaen Merklen panoksen julkisen avaimen salauksen keksimiseen. Tämän saman järjestelmän kehitti Malcolm Williamson 1970-luvulla, mutta se pidettiin salassa vuoteen 1997 asti. Merklen julkisen avaimen jakelumenetelmä keksittiin vuonna 1974 ja julkaistiin vuonna 1978, jota kutsutaan myös Merklen arvoitukseksi.

Vuonna 1977 tutkijat Ronald Rivest , Adi Shamir ja Leonard Adleman Massachusetts Institute of Technologysta kehittivät salausalgoritmin, joka perustuu faktorointiongelmaan - RSA . Järjestelmä on nimetty heidän sukunimiensä ensimmäisten kirjainten mukaan (RSA - Rivest, Shamir, Adleman). Saman järjestelmän keksi vuonna 1973 Government Communications Centerissä (GCHQ) työskennellyt Clifford Cocks, mutta tämä työ säilytettiin vain keskuksen sisäisissä asiakirjoissa, joten sen olemassaolo tiedettiin vasta vuonna 1977. RSA:sta tuli ensimmäinen algoritmi, joka soveltuu sekä salaukseen että sähköiseen allekirjoitukseen.

PKI-objektit

PKI:n pääkomponentit:

Varmenneviranomainen , joka on myös varmentaja (CA tai CA - Certificate Authority), on päärakenne, joka tuottaa digitaalisia varmenteita alisteisille varmentajille ja loppukäyttäjille. CA on PKI:n pääkomponentti:

hän on luotettava kolmas osapuoli
tämä on palvelin, joka hallitsee varmenteiden elinkaarta (mutta ei niiden todellista käyttöä).

Julkisen avaimen varmenne (useimmiten pelkkä varmenne ) on käyttäjän/palvelimen tiedot ja sen julkinen avain, joka on sinetöity varmentajan sähköisellä allekirjoituksella. Myöntämällä julkisen avaimen varmenteen varmentaja vahvistaa siten, että varmenteessa mainittu henkilö omistaa tätä julkista avainta vastaavan yksityisen avaimen.
Registration Center (RC) on järjestelmän valinnainen osa, joka on suunniteltu käyttäjien rekisteröintiin. Varmenneviranomainen luottaa rekisteröintiviranomaiseen tarkistamaan aihetta koskevat tiedot. Rekisteröintikeskus, tarkistettuaan tietojen oikeellisuuden, allekirjoittaa sen avaimellaan ja siirtää sen varmennekeskukselle, joka tarkastettuaan rekisteröintikeskuksen avaimen antaa varmenteen. Yksi rekisteröintiviranomainen voi työskennellä useiden CA:iden kanssa (eli olla osa useaa PKI:tä), yksi CA voi työskennellä useiden rekisteröintiviranomaisten kanssa. Joskus varmenneviranomainen toimii rekisteröintiviranomaisena.
Tietovarasto on arkisto, joka sisältää varmenteita ja sertifikaattien kumoamisluetteloita (CRL) ja jonka tehtävänä on jakaa nämä objektit käyttäjille. Venäjän federaation liittovaltion laissa nro 63 "Sähköisestä allekirjoituksesta" sitä kutsutaan allekirjoitusavaimen sertifikaattien rekisteriksi .
Varmennearkisto on kaikkien koskaan myönnettyjen varmenteiden (mukaan lukien vanhentuneiden sertifikaattien) arkisto. Arkistoa käytetään asiakirjojen varmentamiseen käytetyn sähköisen allekirjoituksen aitouden tarkistamiseen.
Pyyntökeskus on järjestelmän valinnainen osa, jossa loppukäyttäjät voivat pyytää tai peruuttaa varmenteen.
Loppukäyttäjät ovat käyttäjiä, sovelluksia tai järjestelmiä, jotka omistavat varmenteen ja käyttävät julkisen avaimen infrastruktuuria.

Päätehtävät

Tietoturvajärjestelmän päätehtävät, jotka ratkaistaan julkisen avaimen hallintainfrastruktuurilla:

tietojen luottamuksellisuuden varmistaminen;
tietojen eheyden varmistaminen;
Käyttäjien ja käyttäjien käyttämien resurssien todentamisen tarjoaminen;
tarjoaa mahdollisuuden vahvistaa käyttäjien suorittamat toimet tiedoilla (kiistämättömyys / kiistämättömyys).

Pääidea

Yksinkertaisesti sanottuna PKI on järjestelmä, jonka pääkomponentti on varmenneviranomainen ja käyttäjät, jotka ovat vuorovaikutuksessa keskenään tämän varmentajan myöntämien sertifikaattien avulla. Julkisen avaimen hallintainfrastruktuurin toiminta tapahtuu järjestelmämääräysten perusteella. Julkisen avaimen infrastruktuuri perustuu julkisen avaimen salausjärjestelmän periaatteisiin . Julkisen avaimen infrastruktuuri koostuu varmenneviranomaisesta , loppukäyttäjistä ja valinnaisista komponenteista: rekisteröintiviranomaisesta ja verkkohakemistosta.

Sertifiointikeskuksen päätehtävät:

varmenteiden tulevien käyttäjien henkilöllisyyden tarkistaminen;
Varmenteiden myöntäminen käyttäjille;
todistusten peruuttaminen;
ylläpitää ja julkaista CRL-luetteloita (Certificate Revocation List), joita PKI-asiakkaat käyttävät päättäessään luottaa varmenteeseen.

Sertifiointikeskuksen lisätoiminnot:

Varmentaja voi luoda avainpareja, joista yksi sisällytetään varmenteeseen.
Ristiriitoja ratkaiseessaan Varmentaja voi pyynnöstä todentaa tämän varmentajan myöntämän varmenteen omistajan sähköisen allekirjoituksen.

Varmenne on sähköinen asiakirja, joka sisältää käyttäjän sähköisen avaimen (julkisen avaimen), tiedot varmenteen omistavasta käyttäjästä, varmenteen myöntävän viranomaisen (CA) sähköisen allekirjoituksen, tiedot varmenteen voimassaolosta ja muita ominaisuuksia. Varmenne ei voi olla pysyvä, se sisältää aina voimassaolon alkamis- ja päättymispäivämäärän ja -ajan.

Varmenteiden ennenaikaisen peruutuksen syyt:

yksityisen avaimen kompromissi;
tähän varmenteeseen sisältyvien varmenteen omistajan tietojen muuttaminen;
todistuksen haltijan vapaaehtoinen hakemus;
nykyisen varmenteen omistajan käyttöoikeuksien muuttaminen.

Avainpari on sarja, joka koostuu kahdesta avaimesta: yksityisestä avaimesta (yksityinen avain) ja julkisesta avaimesta (julkinen avain). Nämä avaimet luodaan yhdessä, täydentävät toisiaan (julkisella avaimella salatun salauksen purkaminen onnistuu vain yksityisellä avaimella ja yksityisellä avaimella tehty sähköinen allekirjoitus voidaan todentaa julkisella avaimella).

Avainparin luo joko varmenteen myöntävä viranomainen (varmenneviranomainen) käyttäjän pyynnöstä tai käyttäjä itse erityisohjelmistolla. Käyttäjä pyytää varmennetta, ja varmentaja antaa käyttäjätunnistuksen jälkeen hänelle tämän varmentajan allekirjoittaman varmenteen. Varmentajan sähköinen allekirjoitus osoittaa, että tämän varmenteen on myöntänyt tämä keskus eikä kukaan muu.

Julkinen avain on kaikkien tiedossa, kun taas yksityinen avain pidetään salassa. Yksityisen avaimen omistaja pitää sen aina salassa, eikä hänen tule missään tapauksessa päästää tätä avainta tunkeilijoiden tai muiden käyttäjien tietoon. Jos yksityinen avain tulee edelleen hyökkääjien tietoon, se katsotaan vaarantuneeksi , joten varmenne ja siihen liittyvä julkinen avain on peruutettava. Vain yksityisen avaimen omistaja voi allekirjoittaa tietoja ja myös purkaa tiedot, jotka on salattu omistajan yksityiseen avaimeen liitetyllä julkisella avaimella. Voimassa oleva allekirjoitus takaa tiedon tekijän ja sen, että tietoja ei ole muutettu lähetyksen aikana. Koodiallekirjoitus takaa, että tämä ohjelmisto on todellakin kyseisen yrityksen tuottama eikä sisällä haitallista koodia, mikäli yritys niin ilmoittaa.

Omaa yksityistä avaintasi käytetään tietojen allekirjoittamiseen ja muilta PKI-osallistujilta saatujen tietojen salauksen purkamiseen. Julkisen avaimen infrastruktuurin toisen osallistujan varmenteesta poimittua julkista avainta voidaan käyttää varmistamaan tämän osallistujan sähköisen allekirjoituksen oikeellisuus sekä salaamaan tälle osallistujalle lähetetyt tiedot. Epäsymmetristä kryptografiaa käyttävä salausprosessi on hidas verrattuna symmetrisiin algoritmeihin, joten sen käyttäminen tietojen salaamiseen ei ole suositeltavaa, eikä sitä itse asiassa tehdä järjestelmissä, joissa aika on kriittinen tekijä. Käytettäessä julkisen avaimen varmenteita turvalliseen vuorovaikutukseen verkkosivustojen (verkkokaupat, pankit) kanssa, varmenteita käytetään vain suojatun yhteyden muodostamiseen; myöhempää tietojenvaihtoa varten käytetään osapuolten valitsemia symmetrisiä avaimia.

Yksi PKI:n keskeisistä käsitteistä on sähköinen allekirjoitus . Tämän artikkelin puitteissa käsitteet allekirjoitus, sähköinen allekirjoitus (ES), digitaalinen allekirjoitus ja sähköinen digitaalinen allekirjoitus (EDS) ovat keskenään vaihdettavissa. Venäjän federaation liittovaltion laissa nro 1 "Digitaalisesta allekirjoituksesta" vuodelta 2001 oli vain digitaalisen allekirjoituksen käsite. Venäjän federaation liittovaltiolaki nro 63 "Sähköisestä allekirjoituksesta" vuodelta 2011 laajensi allekirjoituksen käsitettä. Artiklan 5 "Sähköisten allekirjoitusten tyypit" mukaisesti erotetaan toisistaan yksinkertainen sähköinen allekirjoitus ja tehostettu sähköinen allekirjoitus. Tässä artikkelissa ja lähes kaikissa julkisen avaimen infrastruktuuria koskevissa kirjallisuuslähteissä, sekä englanniksi että venäjäksi, allekirjoituksen käsite ymmärretään vahvana sähköisenä allekirjoituksena.

Sähköinen allekirjoitus on tulos sähköisen allekirjoitusalgoritmin käyttämisestä tietojen (asiakirja/viesti/tiedosto) hajautusmuodossa.

Sähköisen allekirjoituksen aitous varmistetaan seuraavasti:

Vastaanottaja saa tiedot (salattuina tai tekstimuodossa) ja sähköisen allekirjoituksen.
[Valinnainen vaihe, koska asiakirja/viesti/tiedosto on saatettu lähettää selkeänä tekstinä]. Tietojen salaus puretaan joko ennalta sovitulla symmetrisellä avaimella tai vastaanottajan yksityisellä avaimella (jälkimmäisessä tapauksessa tiedot salattiin vastaanottajan varmenteesta poimitulla julkisella avaimella).
Vastaanottaja laskee salauksesta puretun asiakirjan/viestin/tiedoston tiivisteen (hajautusalgoritmi on määritelty varmenteessa).
Vastaanottaja soveltaa sähköiseen allekirjoitukseen allekirjoituksen poistoalgoritmia (allekirjoitusalgoritmi on määritelty varmenteessa), minkä seurauksena hän saa alkuperäisen asiakirjan/viestin/tiedoston tiivisteen.
Vastaanottaja vertaa tiivisteitä. Jos ne ovat samat, sähköinen allekirjoitus katsotaan päteväksi edellyttäen, että varmenne on voimassa ja sitä on käytetty sen käytäntöjen mukaisesti.

PKI:tä tukevia sovelluksia ovat: suojattu sähköposti , maksuprotokollat, sähköiset shekit, sähköinen tiedonvaihto, tietosuoja IP-verkkojen kautta , sähköiset lomakkeet ja sähköiset digitaaliset allekirjoitukset (ES) asiakirjat.

Lyhyt kuvaus henkilökohtaisten todistusten käsittelyprosessista

Varmenteen saamiseksi sinun on otettava yhteyttä varmenneviranomaiseen. Ennen varmenteen pyytämistä sinun on varmistettava, että tämä CA on akkreditoitu alueella, jolla varmenteen haltija sitä käyttää. Varmenteen saamiseksi sinun on luotava julkinen ja yksityinen avainpari. tämän tekee joko käyttäjä tai varmentaja riippuen varmentajan käytännöstä tai asiakkaan ja varmentajan välisistä sopimuksista.

Käyttääkseen varmenteita (allekirjoituksen tai allekirjoituksen varmennus) käyttäjän on asennettava käytettävään käyttöjärjestelmään salaustyökalut, jotka tukevat näiden sertifikaattien ja sähköisten allekirjoitusten algoritmien käyttöä.

Kun olet saanut varmenteen, sinun on asennettava se järjestelmääsi. Kun käytät Windows-perhekäyttöjärjestelmää, varmenteen asennuksen jälkeen se näkyy "henkilökohtainen sertifikaattivarasto" -laajennuksen kautta (Käynnistä -> Suorita -> certmgr.msc -> OK). Ominaisuuksista näet varmenteen voimassaoloajan, kenelle sen on myöntänyt, sen yksilöivän numeron ja muut attribuutit. Jotta asiakas voisi työskennellä varmenneviranomaisen kanssa, keskus on sisällytettävä luotettujen luetteloon. Luetteloon sisällyttämisen jälkeen kaikki luotettavan viranomaisen myöntämät varmenteet katsotaan luotettaviksi ja sen omistajat. Käyttäjät vaihtavat sertifikaatteja (näin vaihdetaan julkisia avaimia) ja aloittavat vuorovaikutuksen.

PKI-arkkitehtuurit

Pohjimmiltaan PKI-arkkitehtuureja on 5 tyyppiä, nämä ovat:

yksinkertainen PKI (yksi CA)
hierarkkinen PKI
verkon PKI
ristiinsertifioidut yritysten PKI:t
Bridge CA -arkkitehtuuri

Pohjimmiltaan PKI:t jaetaan eri arkkitehtuureihin seuraavien ominaisuuksien mukaan:

varmentajien määrä (sekä toisiinsa luottavien CA:iden määrä)
sertifiointipolun tarkistamisen vaikeus
Varmentajana esiintyvän hyökkääjän seuraukset

Tarkastellaan tarkemmin jokaista PKI-arkkitehtuuria erikseen.

1. Yksinkertainen PKI

Kuten edellä mainittiin, yksinkertaisin arkkitehtuuri on yhden varmentajan arkkitehtuuri. Tässä tapauksessa kaikki käyttäjät luottavat yhteen CA:han ja vastaavat keskenään. Jos hyökkääjä esiintyy tässä arkkitehtuurissa varmentajana, sinun on yksinkertaisesti myönnettävä uudelleen kaikki myönnetyt varmenteet ja jatkettava normaalia toimintaa.

2. Hierarkkinen PKI

Hierarkkinen rakenne on yleisin PKI-arkkitehtuuri. Tässä tapauksessa koko rakennetta johtaa yksi päävarmentaja, johon kaikki luottavat ja alisteiset CA:t ovat sen alaisia. Tämän päävarmentajan lisäksi rakenteessa on useampi kuin yksi varmentaja, joka on ylemmän CA:n alainen, jolle puolestaan on kohdistettu kaikki käyttäjät tai alisteiset CA:t. Erityinen esimerkki hierarkkisesta PKI:stä on yrityksen PKI. Hierarkkisessa PKI:ssä, vaikka hyökkääjä esiintyisi varmentajana, verkko jatkaa toimintaansa ilman häntä, ja kun hän palauttaa normaalin suorituskyvyn, hän yksinkertaisesti palaa rakenteeseen.

3. Verkko PKI

PKI-verkkoarkkitehtuuri on rakennettu luottamusverkostoksi, jossa lukuisat PKI-palveluita tuottavat varmenneviranomaiset yhdistävät peer-to-peer eli peer-to-peer -suhteet. Mutta tässä tapauksessa ei ole yhtä pääasiallista CA:ta, johon kaikki luottaisivat. Tässä arkkitehtuurissa kaikki CA:t luottavat viereisiin CA:ihin ja jokainen käyttäjä luottaa vain siihen CA:han, jolta hän on myöntänyt varmenteen. Varmentajat myöntävät toisilleen varmenteita; varmennepari kuvaa kaksisuuntaista luottamussuhdetta. Tähän PKI-arkkitehtuuriin voidaan helposti lisätä uusi CA, jota varten sen on vaihdettava varmenteita vähintään yhden verkossa jo olevan CA:n kanssa. Tässä arkkitehtuurissa sertifiointiketjun monimutkaisin rakenne.

Verkon PKI:t ovat erittäin joustavia, koska niillä on useita luottamuspisteitä. Yhden varmentajan kompromissi ei vaikuta verkon PKI:hen kokonaisuutena: vaarantuneelle CA:lle varmenteita myöntäneet varmenneviranomaiset yksinkertaisesti peruuttavat ne ja poistavat siten epäluotettavan varmentajan infrastruktuurista. Tämän seurauksena muiden CA:iden käyttäjiä ei häiritä – he voivat silti luottaa luotettaviin luottamuspisteisiin ja kommunikoida turvallisesti muiden PKI-käyttäjiensä kanssa. Verkon PKI:n vaarantaminen johtaa joko siihen, että yhden varmentajan työtä supistetaan sen käyttäjäyhteisön mukana tai, jos useat varmentajat ovat tulleet epäluotettavaksi, PKI hajoaa useiksi pienemmiksi infrastruktuureiksi. Palautus vaarantuneesta verkon PKI:stä on helpompaa kuin hierarkkisesta, pääasiassa siksi, että kompromissi vaikuttaa harvempiin käyttäjiin.

Sertifiointipolun rakentaminen verkkoon on melko vaikeaa, koska tämä prosessi ei ole deterministinen ja sertifikaattiketjun muodostamiseen on useita vaihtoehtoja. Jotkut niistä johtavat oikean polun rakentamiseen, toiset umpikujaan. Tästä syystä varmennepolun validointi suoritetaan usein sen rakentamisen yhteydessä, mikä on osa huonojen oksien poistamista. Useita lisävarmennekenttiä käytetään oikean polun luomiseen.

4. Cross-Certified Enterprise PKI -arkkitehtuuri

Tämän tyyppistä arkkitehtuuria voidaan pitää sekatyyppisenä hierarkkisena ja verkkoarkkitehtuurina. On useita yrityksiä, joilla kullakin on oma PKI, mutta jotka haluavat kommunikoida keskenään, jolloin syntyy yhteinen yritysten välinen PKI.Ristisertifioidussa yrityksen PKI-arkkitehtuurissa on monimutkaisin sertifiointiketjujärjestelmä.

5. Sillan CA:n arkkitehtuuri

Siltavarmennusarkkitehtuuri on suunniteltu poistamaan monimutkaisen sertifiointiprosessin haitat ristiinsertifioidussa yrityksen PKI:ssä. Tässä tapauksessa kaikki yritykset eivät luota vain yhteen tai kahteen yritykseen, vaan yhteen tiettyyn siltavarmentajaan, joka on käytännössä heidän päävarmentajansa, mutta se ei ole tärkein luottamuspiste, vaan toimii välittäjänä muiden CA:iden välillä.

PKI:n käyttöönotto

Julkisen avaimen hallintainfrastruktuurin käyttöönotto kustannussäästöt ja toteutusaika huomioiden toteutetaan seitsemässä vaiheessa.

Vaihe 1. Järjestelmävaatimusten analyysi.
Vaihe 2. Arkkitehtuurin määritelmä.
Vaihe 3. Säännösten määrittely.
Vaihe 4. Turvajärjestelmän tarkistus. Riskien analysointi ja minimointi.
Vaihe 5. Integrointi.
Vaihe 6. Käyttöönotto.
Vaihe 7. Käyttö.

PKI-käyttöesimerkkejä

Sähköinen allekirjoitus (ES)

Asiakirjan osapuoli A laskee hajautusfunktion, jonka jälkeen tuloksena oleva arvo salataan käyttämällä ES:n vastaanottavaa yksityistä avainta (yksityistä avainta). Osapuoli B vastaanottaa osapuolen A asiakirjan, ES:n ja varmenteen (linkki varmenteeseen), varmentaa osapuolen A julkisen avaimen varmenteen varmennekeskuksessa, tarkistaa vastaanotetun ES:n julkisella avaimella, laskee asiakirjan hash-funktion ja tarkistaa salauksen puretulla arvolla. Jos osapuolen A varmenne on voimassa ja tarkastus onnistuu, asiakirjan oletetaan osapuolen A allekirjoittaman.

Viestin salaus

Osapuoli B salaa asiakirjan osapuolen A julkisella avaimella. Varmistaakseen, että julkinen avain todella kuuluu osapuolelle A, osapuoli B pyytää julkisen avaimen varmennetta varmenneviranomaiselta. Jos näin on, vain osapuoli A voi purkaa viestin salauksen, koska sillä on vastaava yksityinen avain.

Valtuutus

Varmenteiden avulla voidaan varmistaa käyttäjän henkilöllisyys ja määritellä heillä olevat valtuudet. Varmenteen kohteen valtuuksiin voi kuulua esimerkiksi oikeus tarkastella tietoja tai oikeus tehdä muutoksia verkkopalvelimella esitettävään aineistoon.

PKI-terminologia

Kaikesta yllä olevasta voidaan korostaa joitakin kohtia ja lisätä uusia, jotta voidaan määritellä PKI:ssä käytetyt päätermit. Joten PKI:ssä käytetyt termit ovat:

julkisen avaimen varmenne

varmennekeskuksen sähköisellä allekirjoituksella varmennettu sähköinen asiakirja, joka sisältää julkisen avaimen, tiedot sen voimassaoloajasta ja avaimen omistajasta.

yksityinen avain

vain omistajansa tuntema avain, joka on generoitu epäsymmetrisellä salausalgoritmilla ja jota käytetään tätä yksityistä avainta vastaavalla julkisella avaimella salatun tiedon sähköiseen allekirjoittamiseen ja salauksen purkamiseen.

julkinen avain

Tietojen salaamiseen ja sähköisen allekirjoituksen varmentamiseen käytetään avainta, joka on luotu parissa yksityisen avaimen kanssa epäsymmetrisellä salausalgoritmilla.

Julkisen avaimen sormenjälki (sormenjälki/peukalonjälki)

tiedot, joiden avulla julkinen avain voidaan tunnistaa. Sormenjälki luodaan käyttämällä kryptografista hajautusfunktiota julkisen avaimen arvoon.

Allekirjoitetut tiedot

käyttäjän yksityisellä avaimella allekirjoitetut tiedot.

Salatut tiedot

tiedot on salattu käyttäjän julkisella avaimella.

Luottamuksen polku

asiakirjojen ketju, jonka avulla voit varmistaa, että esitetyn varmenteen on myöntänyt luotettava keskus; tämän ketjun viimeinen lenkki on esitetty varmenne, ensimmäinen on juuriluotetun varmenneviranomaisen varmenne ja välivarmenteita välittäville varmentajille myönnetyt varmenteet. Luottamuspolun ominaisuus on, että jos luottamus menetetään ketjun alkulinkkiin (juurivarmentaja), menetetään luottamus koko ketjuun eli kaikkiin tämän viranomaisen myöntämiin varmenteisiin, mukaan lukien esitetty.

Henkilökohtaiset todistukset

varmenteita, jotka käyttäjä on tallentanut henkilökohtaiseen varmennevarastoon.

Päävarmentajat

CA:t, joihin kaikki luottavat alun perin joko yrityskäytännön tai oletusvarmennevaraston asetusten perusteella ja jotka voivat olla luottamuspolun alussa.

Luotetut varmentajat

luettelo varmenteenhaltijoiden luotettavista CA:ista. Jotta mistä tahansa keskustasta tulee luotettu, riittää, että vastaanotat siitä varmenteen ja lisäät sen luotettujen keskusten luetteloon.

Kansainväliset CA:t

Muistiinpanot

Kirjallisuus

Polyanskaya O. Yu., Gorbatov VS julkisen avaimen infrastruktuurit. Oppikirja, Moskova, 2007. ISBN 978-5-94774-602-0

Linkit

Julkisen avaimen infrastruktuuri (X.509) (pkix )
PKI - Luottamuksen luominen digitaaliseen maailmaan
Julkisen avaimen infrastruktuurin avainkomponentit | Verkkoratkaisut/LAN-lehti | Kustantaja "Open Systems" (venäjä)
PKI yksityiskohtaisesti | Windows IT Pro/RE | Kustantaja "Open Systems" (venäjä)
[rfc:5280 RFC5280]
[rfc:6960 RFC6960]
PKCS-standardit

Julkisen avaimen salausjärjestelmät

Algoritmit

Kokonaislukujen faktorointi	Benalon kryptojärjestelmä Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern paye Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskreetti logaritmi	BLS Cramer - Shoup Diffie-Hellman-protokolla DSA ECDH Käyrä 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Salatun avaimen vaihto ElGamalin kaava allekirjoitusmalli MQV Schnorrin kaava SPEKE SRP STS
Kryptografia ristikoilla	NTRUEncrypt NTRUSign Oppimiseen perustuva avainten vaihto virheineen Allekirjoituspohjainen koulutus, jossa virheitä kehässä AUTUUS Uusi toivo
muu	AE CEILIDH EPOC Piilotettu kenttäyhtälöt IES Lamportin allekirjoitus McEliece Merkle-Hellmanin selkärepun salausjärjestelmä Naccache-Stern selkäreppujen salausjärjestelmä Kolmivaiheinen protokolla XTR

Teoria

Diskreetti logaritmi elliptisellä käyrällä
Elliptinen kryptografia
Hash-pohjainen kryptografia
Ei-kommutatiivinen kryptografia
RSA ongelma
Yksisuuntainen toiminto salaisella sisäänkäynnillä

Standardit

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvanttisalaus

Aiheet

Sähköinen allekirjoitus
OAEP
Sormenjälki
PKI
luottamuksen verkko
Avaimen koko
Identiteettiin perustuva kryptografia
Postkvanttisalaus
OpenPGP-kortti