Корпоративные информационные системы. Борисов Д.Н. - 94 стр.

UptoLike

ВУЗ: 

ВГУ | Воронеж

Составители: 

Рубрика: 

участники не покрыты непосредственной сетью контактов между собой.
Для того, чтобы узнать открытый ключ любого интересующего его
абонента, участнику криптосистемы (обозначим его В) необходимо
однократно приобрести аутентичный открытый ключ УЦ открытых
ключей (что технически реализовать не сложно). Далее для установления
связи с абонентом А ему необходимо:
1) приобрести сертификат открытого ключа абонента А одним из
следующих способов: обратившись в хранилище сертификатов,
непосредственно получив его от УЦ или от абонента А (зависит от
порядка, установленного в системе);
2) выполнить процедуру проверки сертификата, состоящею из
следующих действий:
проверки текущей даты и времени и сравнения с периодом
действия сертификата;
проверки действительности в данный момент времени открытого
ключа самого УЦ;
проверки подписи УЦ на сертификате открытого ключа абонента
А, используя открытый ключ УЦ;
проверки, не был ли сертификат аннулирован к текущему моменту
времени;
3) в случае, если все проверки окончились с положительным
результатом, принять открытый ключ, извлеченный из сертификата
абонента А как аутентичный ключ.
Далее абонент В может использовать открытый ключ абонента А для
выполнения любых необходимых ему криптографических алгоритмов или
протоколов. К примеру, участники А и В, приобретя таким образом
открытые ключи друг друга, могут выполнить протокол открытого
распределения Диффи-Хеллмана, выработать с его помощью общий
секретный ключ для симметричной криптосистемы и использовать далее
для шифрования трафика VPN какой-либо симметричный алгоритм: DES,
ГОСТ 28147-89 и др.
Хотя сертификат является вспомогательным средством для
транспортировки и обеспечения подлинности открытого ключа, он, как и
сам ключ, имеет свой жизненный цикл. В его жизненном цикле можно
выделить те же стадии и ряд состояний, в которых пребывает сертификат:
создание, рассылка, штатное использование, обновление или
аннулирование, уничтожение сертификата.
Недостаток метода сертификации открытых ключей заключается в
том, что часто участникам криптосистемы после проверки сертификата все
равно необходим доступ в базу данных об участниках криптосистемы в
реальном масштабе времени (например, для проверки аннулирования
сертификата либо чтобы получить какие-то дополнительные данные об
этом участнике, необходимые для работы прикладных программ). Это не
94
участники не покрыты непосредственной сетью контактов между собой.
     Для того, чтобы узнать открытый ключ любого интересующего его
абонента, участнику криптосистемы (обозначим его В) необходимо
однократно приобрести аутентичный открытый ключ УЦ открытых
ключей (что технически реализовать не сложно). Далее для установления
связи с абонентом А ему необходимо:
     1) приобрести сертификат открытого ключа абонента А одним из
следующих способов: обратившись в хранилище сертификатов,
непосредственно получив его от УЦ или от абонента А (зависит от
порядка, установленного в системе);
     2) выполнить процедуру проверки сертификата, состоящею из
следующих действий:
     • проверки текущей даты и времени и сравнения с периодом
действия сертификата;
     • проверки действительности в данный момент времени открытого
ключа самого УЦ;
     • проверки подписи УЦ на сертификате открытого ключа абонента
А, используя открытый ключ УЦ;
     • проверки, не был ли сертификат аннулирован к текущему моменту
времени;
     3) в случае, если все проверки окончились с положительным
результатом, принять открытый ключ, извлеченный из сертификата
абонента А как аутентичный ключ.
     Далее абонент В может использовать открытый ключ абонента А для
выполнения любых необходимых ему криптографических алгоритмов или
протоколов. К примеру, участники А и В, приобретя таким образом
открытые ключи друг друга, могут выполнить протокол открытого
распределения Диффи-Хеллмана, выработать с его помощью общий
секретный ключ для симметричной криптосистемы и использовать далее
для шифрования трафика VPN какой-либо симметричный алгоритм: DES,
ГОСТ 28147-89 и др.
     Хотя сертификат является вспомогательным средством для
транспортировки и обеспечения подлинности открытого ключа, он, как и
сам ключ, имеет свой жизненный цикл. В его жизненном цикле можно
выделить те же стадии и ряд состояний, в которых пребывает сертификат:
создание,    рассылка,   штатное    использование,   обновление   или
аннулирование, уничтожение сертификата.
     Недостаток метода сертификации открытых ключей заключается в
том, что часто участникам криптосистемы после проверки сертификата все
равно необходим доступ в базу данных об участниках криптосистемы в
реальном масштабе времени (например, для проверки аннулирования
сертификата либо чтобы получить какие-то дополнительные данные об
этом участнике, необходимые для работы прикладных программ). Это не
                                 94

Страницы