Встановлення довіри
Ви самі засвідчуєте сертифікати. Але ви також довіряєте людям. Тому ви можете довірити людям і право засвідчувати сертифікати. Як правило, якщо тільки власник сам не вручив вам копію ключа, ви повинні покластися на чиєсь чуже думка про його справжності.
Мета-поручителі і довірені поручителі
У більшості випадків користувачі повністю покладаються на ЦС в перевірці достовірності сертифікатів. Іншими словами, користувачі переконані, що ЦС провів всю механічну процедуру перевірки за них, і впевнені в його поручительства за достовірність засвідчених ним сертифікатів. Така схема працює тільки до певної межі в кількості користувачів PKI, перейшовши який ЦС не зможе дотримуватися колишнього рівня ретельності процедури перевірки. У цьому випадку стає необхідним додавання в систему додаткових «поручителів».
ЦС також може бути мета-поручителем (мета-представником). Мета-поручитель не тільки сам запевняє ключі, але надає й іншим особам (організаціям) повноваження запевнення. За аналогією з тим, як король передає свою особисту печатку або факсиміле наближеним радникам, щоб ті могли діяти від його імені, так і мета-поручитель уповноважує інших діяти в якості довірених поручителів (довірених представників). Ці довірені поручителі можуть засвідчувати ключі з тим же результатом, що і мета-поручитель. Однак, вони не можуть створювати нових довірених поручителів.
«Мета-поручитель» та «довірений поручитель» - це терміни PGP. У середовищі Х.509 мета-поручитель називається кореневим Центром сертифікації (root CA), а довірені поручителі - підлеглими, або проміжними, Центрами сертифікації (subordinate CAs, intermediate CAs).
Кореневий ЦС для підписання ключів використовує закритий ключ, пов'язаний з особливим типом сертифіката, званим кореневим сертифікатом ЦС. Будь сертифікат, підписаний кореневим ключем ЦС, стає достовірним будь-якому іншому сертифікату, підписаного кореневим. Такий процес посвідчення діє навіть для сертифікатів, підписаних іншим ЦС в [пов'язаної] системі - якщо ключ проміжного ЦС підписаний ключем кореневого ЦС, будь-який сертифікат підписаний першим розцінюється вірним в межах ієрархії. Цей процес відстеження вздовж гілок ієрархії того, хто підписав які сертифікати, називається відстеженням шляху, або ланцюга, сертифікатів.
- Конспект лекцій
- Лекція 1. Вступ Основні поняття інформаційної безпеки
- Базова модель безпеки інформації
- Системний підхід до опису безпеки
- Класифікація засобів захисту інформації
- Модель мережевої безпеки
- Лекція 2. Безпека мережевої інфраструктури
- Метод дублювання дисків з використанням утиліти Sysprep
- Метод віддаленої установки
- Попередні вимоги для проведення методу
- Встановлення та налаштування ris
- Створення файлів відповідей для автоматизації процесів розгортання
- Використання диспетчера установки Windows
- Лекція 3. Безпека зберігання даних в ос Microsoft
- Технологія тіньового копіювання даних
- Обмеження тіньового копіювання томів
- Установка і використання технології тіньового копіювання томів
- Архівація даних
- Робота з програмою архівації Backup
- Стратегії архівації
- Створення відмовостійких томів для зберігання даних
- Робота з дзеркальними томами
- Робота з томами raid-5
- Лекція 4. Центр обеспечения безопасности
- Введення
- Параметри безпеки Windows
- Створення виключення для програми
- Створення винятків для портів
- Лекція 5. Системи аналізу захищеності мережі
- Принципи роботи систем аналізу захищеності
- Опис перевірок, виконуваних mbsa
- Сканер безпеки xSpider
- Лекція 6. Windows Defender
- Введення
- Вимоги до системи
- Завантаження Захисника Windows
- Оновлення служби Windows Update
- Майстер установки Захисника Windows
- Налаштування Windows Defender
- Автоматична перевірка (Automatic scanning)
- Дії за замовчуванням (Default actions)
- Установки захисту в реальному часі
- Додаткові параметри (Advanced options)
- Адміністративні параметри (Administrator options)
- Оновлення Windows Defender
- Перевірка комп'ютера
- Виявлення підозрілих дій
- Виявлення програм-шпигунів
- Робота з карантином
- Лекція 6. Des (Data Encryption Standard)
- Історія
- Блоковий шифр
- Перетворення Мережею Фейстеля
- Початкова перестановка
- Цикли шифрування
- Основна функція шифрування (функція Фейстеля)
- Генерування ключів ki
- Режими використання des
- Криптостійкість алгоритму des
- Збільшення криптостійкості des
- Лекція 7. Rsa - алгоритм з відкритим ключем
- Історія
- Опис алгоритму Введення
- Алгоритм створення відкритого і секретного ключів
- Шифрування і розшифрування
- Цифровий підпис
- Швидкість роботи алгоритму rsa
- Криптоаналіз rsa
- Елементарні атаки
- Генерація простих чисел
- Атака на підпис rsa в схемі з нотаріусом
- Малі значення секретної експоненти
- Малі значення відкритої експоненти
- Лекція 8. Pgp
- Цифрові підписи
- Цифрові сертифікати
- Поширення сертифікатів
- Сервери-депозитарії
- Інфраструктури відкритих ключів (pki)
- Формат сертифікатів
- Справжність і довіра
- Перевірка справжності
- Встановлення довіри
- Моделі відносин довіри
- Ступені довіри в pgp
- Анулювання сертифіката
- Повідомлення про анулювання сертифіката
- Що таке ключова фраза
- Поділ ключа
- Література