ТЕХНОЛОГИЯ
Инфраструктура Открытых Ключей (PKI)

Инфраструктура открытых ключей (ИОК, PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределенных служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. Основная задача PKI - распространение ключей и управление их жизненным циклом.

Зачем нужно управлять ключами? Шифрование используется уже тысячи лет, и изначально для этих целей применялся симмметричный ключ. Это означает, что один и тот же ключ использовался как в процессе шифрования, так и в процессе расшифровки информации. Сразу возникла проблема доставки ключа до получателя. Ведь в процессе доставки ключ может быть перехвачен, и тогда зашифрованная информация будет с легкостью прочитана.

Проблема обмена ключами решается при помощи асимметричных алгоритмов шифрования. Каждый пользователь имеет два ключа - открытый и закрытый, которые связаны между собой математической зависимостью. При этом зависимость не имеет обратной функции, т.е., имея открытый ключ пользователя, невозможно по нему восстановить закрытый ключ. Информация шифруется открытым ключом пользователя, а расшифровывается закрытым ключом. Открытый ключ может распространяться неограниченно, тогда как закрытый ключ всегда находится непосредственно у пользователя. На этом принципе построена тенхология открытых ключей.

В основе PKI лежит использование нескольких основных принципов:

  • Закрытый ключ известен только его владельцу;
  • Удостоверяющий центр создает сертификат открытого ключа, таким образом удостоверяя этот ключ;
  • Никто не доверяет друг другу, но все доверяют Удостоверяющему центру;
  • Удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.

Фактически, PKI представляет собой систему, основными компонентами которой являются Удостоверяющий центр и пользователи, взаимодействующие между собой посредством Удостоверяющего центра.

PKI

Нужна ли предприятию собственная Инфраструктура Открытых Ключей? Альтернативой ей могут быть следующие решения:

  • Приобретение сертификатов у коммерческого удостоверяющего центра;
  • Использование самоподписанных сертификатов;

С ростом количества используемых сертификатов эти решения становятся неприемлемыми, в первом случае из-за чрезмерной стоимости, во втором - из за отсутствия единой точки доверия. Общий недостаток - невозможность централизованного управления. Поэтому, по мере развития, любая организация приходит к необходимости построения собственной Инфраструктуры Открытых Ключей.

Основой PKI на Windows Server является служба Active Directory Certificate Services (ADCS). Центр Сертификации (ЦС) на основе ADCS выпускает сертификаты, соответствующие промышленному стандарту X.509 v 3 (RFC 5280).

Главным преимуществом PKI на базе ADCS является интеграция со Службой Каталогов Active Directory, которая позволяет эффективно управлять компонентами PKI и автоматизировать многие операции.

Внедрение PKI позволяет решать множество задач по усилению информационной безопасности предприятия, таких как:

  • Двухфакторная аутентификация
  • Защита удаленного доступа
  • Защита почтовых сообщений
  • Защита трафика web-серверов
  • Подписание программного обеспечения
  • Аутентификация серверов и клиентов

Наши знания и опыт позволяют внедрять Инфраструктуру Открытых Ключей любой сложности, максимально отвечающую потребностям Заказчика. Работы могут быть проведены в короткие сроки с минимальными издержками. Мы также предоставляем комплект необходимой документации.

Active Directory Certificate Services (AD CS) – серверная роль, часть операционной системы Windows Server. Является основой Инфраструктуры Открытых Ключей.

ADCS включает в себя следующие компоненты:

Certification authority  – непосредственно Центр Сертификации (ЦС). Выдает сертификаты, публикует информацию о статусе выданных сертификатов, также позволяет досрочно прекращать их действие.

Web enrollment – позволяет пользователям подключаться к Центру Сертификации при помощи браузера, чтобы запросить сертификат или скачать список отозванных сертификатов (СОС, CRL – Certificate Revocation List).

Online Responder – компонент, осуществляющий поддержку протокола OCSP (Online Certificate Status Protocol). Online Responder позволяет в режиме реального времени проверять статус определенного сертификата. Он принимает запрос клиента на проверку сертификата, проверяет его статус и посылает подписанный ответ, содержащий информацию по данному сертификату.

Network Device Enrollment Service – компонент, позволяющий сетевым устройствам запрашивать сертификаты при помощи протокола SCEP (Simple Certificate Enrollment Protocol). Также протокол SCEP используется во многих MDM (Mobile Device Management) решениях для установки сертификатов на мобильные устройства – телефоны и планшеты.

Certificate Enrollment Web Service – компонент, предоставляющий пользователям и компьютерам возможность запрашивать сертификаты по протоколу HTTPS. Кроме того, эта служба вместе со службой Certificate Enrollment Policy Web Service позволяет запрашивать сертификаты на основе политик в случае, если клиентский компьютер не является членом домена.

Certificate Enrollment Policy Web Service –компонент, который позволяет пользователям и компьютерам получать сведения о политике запроса сертификатов. Эта служба вместе с предыдущей службой позволяет запрашивать сертификаты на основе политик в случае, если клиентский компьютер не является членом домена. С помощью протокола LDAP данная служба получает политику сертификации из доменных служб Active Directory и кэширует сведения о политике для обслуживания клиентских запросов. С помощью протокола HTTPS передает сетевым компьютерам сведения о политике сертификации.

Правильное сочетание и настройка приведенных выше компонентов позволяет построить эффективную Инфраструктуру Открытых Ключей, отвечающую всем потребностям Заказчика.

Получить дополнительную информацию по описанной технологии и особенностям внедрения Вы можете здесь.