WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 2 | 3 ||

«УДК 681.3.067 ББК 32.973 Г67 Рецензент Ученый Совет факультета информационной безопасности МИФИ (Председатель Совета - канд. техн. наук, доцент А.А. Малюк) Горбатов B.C., Полянская О.Ю. ...»

-- [ Страница 4 ] --

рис. 8.5):

• Центр сертификации (ЦС);

• Центр регистрации (ЦР);

• АРМ администратора ЦР;

• АРМ пользователя;

• Программный интерфейс взаимодействия с УЦ.

Центр сертификации - базовый компонент подсистемы, предназначенный для формирования сертификатов открытых клю чей пользователей и администраторов Удостоверяющего центра, списков аннулированных сертификатов, хранения эталонной базы сертификатов и САС. Центр сертификации реализован на плат форме Microsoft Windows 2000 Server и взаимодействует только с Центром регистрации на базе защищенного сетевого протокола.

В программный комплекс ЦС входят базовый набор СОМ компонентов и интерфейс взаимодействия с сервером ЦР - SOAP (Simple Object Access Protocol).

Базовый набор СОМ-компонентов реализует основные функ ции ЦС, взаимодействуя со следующими программными модулями:

• Microsoft Certificate Services - для выполнения функций управления сертификатами пользователей;

• Microsoft Internet Information Server 5.0 - для обеспечения SOAP-интерфейса с Центром регистрации;

CryptoAPI 2.0 - для выполнения функций проверки электрон ной цифровой подписи ЦР с использованием СКЗИ КриптоПро CSP.

SQAP-интерфейс взаимодействия с сервером ЦР реализован в виде комплекса ASP-страниц, которые используют в своей работе базовый набор СОМ-компонент ЦС, Центр регистрации - компонент УЦ, предназначенный для хранения регистрационных данных пользователей, запросов на сер тификаты, обеспечения взаимодействия пользователей и УдостовС' ряющего центра.

PDF created with pdfFactory Pro trial version www.pdffactory.com 204 Основы технологии PKI Центр сертификации Кри КриптоПро TLS птоПр о Т] Администратор Администратор Программный интерфейс Двусторонняя аутентификация Шифрование трафика Регистрация Внешние приложения Двусторонняя аутентификация Шифрование трагика Взаимодействие с Центром Регистрации Пользователи Рис.8.5. Архитектура КриптоПро УЦ Центр регистрации работает на платформе Microsoft Windows 2000 Server и использует базу данных Microsoft SQL 2000.

ЦР взаимодействует с Удостоверяющим центром в отдельном сегменте локальной сети на базе защищенного сетевого протокола.

Взаимодействие пользователей с Удостоверяющим центром осу ществляется через АРМ пользователя. ЦР является единственной точкой входа (регистрации) пользователей в системе. Только зареги стрированный пользователь может получить сертификат открытого ключа в Удостоверяющем центре.

Программное обеспечение ЦР состоит из базового набора СОМ-компонентов, интерфейсов взаимодействия с АРМ админист ратора и внешними приложениями. Базовые СОМ-компоненты ЦР PDF created with pdfFactory Pro trial version www.pdffactory.com _8. Программные средства поддержки PKI реализуют основную логику работы ЦР, взаимодействуя со следую щими программными модулями:

• Microsoft Internet Information Server 5.0 - для обеспечения интерфейса со всеми типами пользователей системы.

• Microsoft SQL Server 2000 - для выполнения функций управления БД ЦР, протоколирования работы ЦР.

• CryptoAPI 2.0 - для выполнения функций шифрования, ау тентификации и проверки электронной цифровой подписи, исполь зуя алгоритмы криптографической защиты, реализованные в составе СКЗИ КриптоПро CSP.

Интерфейсы взаимодействия с АРМ администратора ЦР и внешними приложениями реализуются в виде комплекта ASP страниц, использующих в своей работе базовые СОМ-компоненты ЦР.

Компонент АРМ Администратора ЦР предназначен для вы полнения организационно-технических мероприятий, связанных с регистрацией пользователей, генерацией ключей и сертификатов пользователей и взаимодействием с Центром регистрации. АРМ администратора ЦР функционирует в ОС Microsoft Windows Professional. АРМ администратора взаимодействует с Центром ре гистрации в отдельном сегменте локальной сети на базе защищен ного сетевого протокола.

АРМ администратора ЦР является приложением, разрабо танным посредством Microsoft Management Console, и может быть использован в интегрированной среде совместно с другими прило жениями администрирования, такими, как Microsoft SQL Server Enterprise Manager, Microsoft Internet Information Server Manager и др.

АРМ администратора ЦР обеспечивает проверку состояния и обработку запросов пользователей на регистрацию, выдачу и ан нулирование сертификатов открытых ключей, просмотр протоколов работы ЦР и поиск информации в базе данных ЦР, относящейся к зарегистрированным пользователям.

АРМ пользователя - это web-приложение, размещенное на сервере ЦР. АРМ пользователя функционирует в ОС Microsoft Windows 95 и выше (браузер - MS IE 5.0 и выше). АРМ пользова теля обеспечивает шифрование информации, передаваемой ЦР с использованием протокола TLS с двусторонней аутентификацией.

PDF created with pdfFactory Pro trial version www.pdffactory.com 206_ Основы технологии PKI_ К основным функциям АРМ пользователя относятся:

• обеспечение взаимодействия пользователя с ЦР;

• заполнение форм запросов на сертификаты;

• выбор типа сертификата;

• проверка состояния запросов на сертификаты и статуса сертификатов;

• генерация секретных ключей;

• получение сертификатов.

Программный интерфейс пользователя предназначен для про смотра персональной информации из базы данных ЦР, списка сер тификатов, полученных пользователем, и запросов на сертификаты для загрузки, получения и аннулирования сертификатов.

Интеграция российских средств криптографической защиты информации со средствами операционной системы и приложениями, использование инфраструктуры открытых ключей позволяет поль зователям и разработчикам обеспечить конфиденциальность, автор ство и целостность информации. Применяя средство криптографи ческой защиты информации КриптоПро CSP, пользователи опера ционной системы MS Windows могут воспользоваться стандартны ми программными средствами корпорации Microsoft для реализации решений, основанных на инфраструктуре открытых ключей. К этим средствам относятся: Центр сертификации (MS Certification Authority), Инструментарий разработчика CryptoAPI 2.0, Инстру ментарий разработчика CAPICOM 1.0, Certificate Enrollment Control (xenroll), Microsoft Outlook, Microsoft Outlook Express и Microsoft Authenticode.

8.2.3. Программный комплекс «Вепрь» Руководствуясь требованиями «Доктрины информационной безопасности РФ» в плане замещения зарубежных технических и программных средств в российских информационных системах, российская компания «Новый Адам» разработала программный комплекс Удостоверяющий Центр «Вепрь», способный стать ба зовым компонентом корпоративных систем, использующих в целях обеспечения информационной безопасности технологию PKI (в ча стности, систем электронного документооборота Интернет- PDF created with pdfFactory Pro trial version www.pdffactory.com _ 8. Программные средства поддержки PKI_ банкинга, электронной коммерции, билинговых систем, и т.п.) [142].

Функционально Удостоверяющий Центр реализован в соответст вии с требованиями Федерального Закона РФ «Об электронной циф ровой подписи».

Удостоверяющий Центр (рис. 8.6) построен по модульному принципу и содержит следующие компоненты:

• Службу Реестра (СР);

• Центр регистрации (ЦР);

• Центр сертификации (ЦС);

• Центр арбитража (ЦА);

• Криптографический Процессор (КП);

• Абонентские пункты (АП).

Служба Реестра обеспечивает публикацию, организацию сво бодного доступа и хранение электронных сертификатов и списков аннулированных сертификатов, выпущенных ЦС. Доступ к храни лищу сертификатов осуществляется по протоколу LDAP. Служба Реестра взаимодействует с Центром сертификации для поддержа ния актуальности базы данных и вносит информацию о сертифика тах и изменении их статуса в сетевые справочники сертификатов и списки аннулированных сертификатов.

Центр регистрации обеспечивает получение, предваритель ную обработку и хранение внешних запросов о выдаче и аннулиро вании сертификатов, а также их передачу Центру сертификации.

Для обслуживания запросов на разбор конфликтных ситуаций Центр регистрации взаимодействует с Центром арбитража, при чем верификация цифровой подписи на электронном документе трактуется как конфликтная ситуация.

К функциям Центра регистрации также относятся хранение журналов событий в течение срока, предусмотренного регламентом системы, и резервное копирование на внешние носители локального архива. Центр регистрации - это единственный управляющий ком понент системы, имеющий непосредственный выход в публичную сеть.

Центр сертификации взаимодействует с Криптографиче ским Процессором для генерации секретных и открытых ключей пользователей, выпуска сертификатов формата Х.509 v3 и измене- PDF created with pdfFactory Pro trial version www.pdffactory.com 208 Основы технологии PKI ния их статуса, проверки подлинности цифровых подписей на элек тронных документах и проставления меток времени.

Центр сертификации выполняет обработку запросов от Цен тра регистрации на создание ключей и сертификатов, обеспечивает управление жизненным циклом ключей и сертификатов, доступ к базе данных Центра арбитража при разборе конфликтных ситуа ций, подготовку информации о сертификатах и списках аннулиро ванных сертификатов к ее опубликованию Службой Реестра.

Рис. 8.6. Структурная схема У Ц Центр сертификации поддерживает в системе установлен ную регламентом политику безопасности, в том числе управление доступом обслуживающего персонала к данным и программным мо дулям системы на базе устанавливающих полномочия атрибутных сертификатов, хранение журналов событий в течение установленного срока, резервное копирование локального архива на внешние но сители.

Центр арбитража выполняет обработку запросов из Центра регистрации на разбор конфликтных ситуаций, поддерживает базу данных «историй» разбора конфликтов, а также по обращениям або нентов официально подтверждает подлинность цифровых подписей PDF created with pdfFactory Pro trial version www.pdffactory.com 8. Программные средства поддержки PKI _ на тех электронных документах, которые подписаны при помощи ключей подписи сертификатов, выданных Центром сертификации.

Для верификации цифровых подписей Центр арбитража взаимо действует с Криптографическим Процессором (через Центр сер тификации).

Центр арбитража обеспечивает регистрацию и принятие ре шений по конфликтным и спорным ситуациям в процессе использо вания сертификатов, а также формирование структурированных данных о результатах разбора конфликтных и спорных ситуаций.

К функциям Центра регистрации также относятся ведение журнала работы, хранение «историй» разбора конфликтных ситуаций и жур налов событий в течение срока, предусмотренного регламентом сис темы, и резервное копирование локального архива на внешние носи тели.

Криптографический Процессор - автономный модуль, кото рый принимает заявки на выполнение криптографических процедур и взаимодействует с Центром сертификации через отдельный фи зический интерфейс. Сервис, обслуживающий запросы от Центра сертификации, предоставляет строго определенный, ограниченный набор функций. Функциональное обособление Криптографическо го Процессора обеспечивает независимость системы от криптогра фических алгоритмов, поставщика криптографических средств и уровня требований к криптографической подсистеме.

Криптографический Процессор выполняет генерацию соб ственной пары ключей подписи и создание самоподписанного кор невого сертификата, секретный ключ всегда хранится под защитой Криптографического Процессора. По запросам от Центра серти фикации осуществляется:

1) генерация и передача секретных ключей и сертификатов ключей подписи пользователей. Секретные ключи пользователей шифруются при помощи ключей, поступающих из Центра серти фикации вместе с запросом.

2) создание и подписание сертификатов открытых ключей подписи пользователей. Открытые ключи пользователей поступают вместе с запросами на сертификаты из Центра сертификации.

PDF created with pdfFactory Pro trial version www.pdffactory.com 210_Основы технологии PKl _ 3) создание электронной цифровой подписи на блоке данных при помощи секретного ключа Криптографического Процессора.

4) проверка электронной цифровой подписи на блоке данных для известного открытого ключа, который поступил вместе с запро сом на верификацию подписи из Центра сертификации.

В Криптографическом Процессоре реализованы алгоритмы:

• электронной цифровой подписи: RSA (PKCS#1, RFC 2437), DSA (FIPS 186-1) и ГОСТ Р 34.10-94;

• хэширования: MD5 (RFC 1321), SHA-1 (FTPS 181, RFC 3174) и ГОСТ Р 34.11-94;

• согласования ключей Диффи-Хеллмана.

Средства электронной цифровой подписи встроены в Крипто графический Процессор и по требованиям регламента системы Удостоверяющий Центр могут встраиваться в другие компоненты комплекса, например абонентские пункты.

Абонентский пункт предназначен для административного управления компонентами Удостоверяющего Центра, кроме того, может выступать клиентской частью PKI-системы на базе про граммного комплекса «Вепрь». Абонентский пункт позволяет фор мировать запросы на выдачу сертификатов и списков аннулирован ных сертификатов из базы данных Службы Реестра, просматривать содержание сертификатов и САС, осуществлять поддержку локаль ной базы сертификатов и функций экспорта/импорта сертификатов, создавать бумажные копии сертификатов ключей подписи, а также выполняет дополнительные функции наложения цифровой подписи на блок данных и проверки ЭЦП на блоке данных. Абонентский пункт может использоваться в качестве рабочего места администра тора ЦА, ЦР и ЦС.

Циркуляция информации между компонентами УЦ осуществ ляется на базе заверенных цифровой подписью запросов в формате CMC [98].

Удостоверяющий Центр корпоративной информационной системы реализован на платформах Unix и Linux и обеспечивает:

1. Регистрацию и обслуживание запросов пользователей на создание цифровых сертификатов, секретных и открытых ключей.

PDF created with pdfFactory Pro trial version www.pdffactory.com _ 8. Программные средства поддержки PKI Запрос может быть представлен в гипертекстовой форме (онлайно вая регистрация), в форматах PKCS#10 и CRMF [92].

2. Создание цифрового сертификата пользователя и его под писание секретным ключом УЦ на базе российских криптографиче ских алгоритмов (функции хэширования - ГОСТ Р34.11-94, цифро вой подписи - ГОСТ Р34.10-94, шифрования и выработки имитов- ставки - ГОСТ 28147-89). Возможен раздельный выпуск сертифика тов ключей подписи и шифрования. Цифровые сертификаты соот ветствуют международным рекомендациям Х.509 v.3 и могут выда ваться в форматах PKCS#12, DER или РЕМ.

3. Ведение реестра сертификатов открытых ключей и списка аннулированных сертификатов на базе каталога LDAP и организа ция свободного доступа к нему пользователей.

4. Оперативное управление сертификатами (ввод в действие, приостановление и возобновление действия, аннулирование). Раз граничение доступа к административным ресурсам осуществляется на основе анализа содержания цифровых сертификатов лиц, ответ ственных за информационную безопасность (офицеров безопасно сти). Сертификаты офицеров безопасности содержат специальные мандатные метки, характеризующие полномочия конкретного лица и уровень принятия решения.

5. Техническую поддержку разбора конфликтных ситуаций.

УЦ обеспечивает ведение заверенной «истории жизни» сертификата.

Любое событие в жизненном цикле сертификата, будь то централи зованное принятие решения о выпуске сертификата или изменение статуса уже выпущенного сертификата, оформляется в виде специ альной записи (в формате CMC) в «истории» сертификата и имеет ЭЦП инициатора принятия решения. Взаимосвязанные записи ха рактеризуют всю «историю жизни» сертификата. Управление исто риями сертификатов позволяет эффективно решать задачи разбора конфликтных ситуаций.

Дополнительно УЦ предоставляет общедоступный сервис «службы времени», обеспечивает проставление меток времени на электронных документах и верификацию цифровых подписей на электронных документах в отношении сертификатов, выпущенных этим центром.

PDF created with pdfFactory Pro trial version www.pdffactory.com 212 Основы технологии PKI Заключение В современных условиях защищенный обмен сообщениями, надежная идентификация и электронная коммерция невозможны без инфраструктуры безопасности. В настоящее время наиболее успеш ным методом обеспечения цифровой идентичности является исполь зование цифровых сертификатов в соответствии с международным стандартом Х.509 и стандартами Интернет. Инфраструктура безо пасности для распространения открытых ключей, управления элек тронными сертификатами и ключами пользователей получила на звание инфраструктуры открытых ключей.

Инфраструктура открытых ключей представляет собой ком плексную систему, обеспечивающую все необходимые сервисы для использования технологии открытых ключей. Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI счи тается единственной позволяющей применять методы подтвержде ния цифровой тождественности при работе в открытых сетях [30].

Концепция инфраструктуры открытых ключей сама по себе не нова. Международный союз по телекоммуникациям уже много лет назад разработал стандарты на структуру баз данных, записи в кото рых содержали информацию о пользователях. Стандарты играют существенную роль в развертывании и использовании PKI. Стан дартный подход особенно важен при регулировании процедур реги страции и выработки ключа, задании формата сертификата и списка аннулированных сертификатов, формата криптографически защи щенных данных и описании онлайновых протоколов.

Во многих странах происходит пересмотр законодательства в сфере инфраструктур открытых ключей и цифровых подписей.

Основной смысл предложений заключается в повышении доверия к использованию цифровых подписей в качестве юридического инст румента.

PDF created with pdfFactory Pro trial version www.pdffactory.com Заключение Следование стандартам технологии цифровых сертификатов является необходимым условием успешного проектирования и раз вертывания эффективных инфраструктур открытых ключей, обеспе чивающих масштабируемые и полностью распределенные решения для управления доступом и безопасности электронного документо оборота.

Развертывание PKI целесообразно для крупных территориаль но распределенных организаций, где необходимо наладить контро лируемую защиту документов и серверов при использовании разно образных приложений.

Основной риск, возникающий при использовании PKI, заклю чается в возможной неудаче при оказании PKI-услуг вследствие не достаточной функциональной совместимости программных и аппа ратных продуктов различных производителей. Система PKI должна легко интегрироваться с технологиями браузеров, а также приклад ными системами, которые она должна поддерживать. Ключевой проблемой при этом является степень сложности интеграции соот ветствующих PKI-функций во вновь создаваемые приложения, а также в уже имеющиеся прикладные системы.

Продукты и услуги для поддержки PKI предлагаются на рынке целым рядом компаний. Одни компании производят комплексное программное обеспечение, которое может быть использовано для ор ганизации собственного удостоверяющего центра и управления сер тификатами, другие предоставляют услуги удостоверяющего центра, обеспечивая работу и управляя серверами сертификатов в своих офисах, доступ к которым клиенты получают через Интернет.

С каждым годом возрастает важность технологии PKI для корпоративной среды, для реализации компаниями защищенного обмена сообщениями, электронной коммерции, виртуальных част ных сетей и даже однократной регистрации. Сегодняшний бизнес все в большей степени начинает использовать эту технологию, обес печивающую высокий уровень безопасности и способствующую более тесному взаимодействию с партнерами, поставщиками и по требителями.

PDF created with pdfFactory Pro trial version www.pdffactory.com 214 Основы технологии РК ПРИЛОЖЕНИЕ 1. НАБОР ПОЛОЖЕНИЙ ПОЛИТИКИ PKI 1. Введение 1.1. Краткий обзор 1.2. Идентификация 1.3. Сообщество и сфера приложения 1.3.1. Удостоверяющие центры 1.3.2. Регистрационные центры 1.3.3. Конечные субъекты _1.3.4. Сфера приложения _ 1.4. Контактная информация 1.4.1. Спецификация администрации организации 1.4.2. Контактное лицо 1.4.3. Лицо, определяющее соответствие регламента поли тике 2. Основные положения 2.1. Обязательства 2.1.1. Обязательства УЦ 2 Л.2.

Обязательства РЦ 2.1.3.

Обязательства подписчика _2.1.4. Обязательства доверяющей стороны 2.2. Ответственность 2.2.1. Ответственность У Ц _2.2.2. Ответственность РЦ 2.3. Финансовая ответственность 2.3.1. Возмещение ущерба доверяющими сторонами 2.3.2. Фидуциарные отношения _2.3.3. Административные процессы _ 2.4. Интерпретация и исполнение 2.4.1. Государственное право 2.4.2. Раздельность положений _2.4.3. Процедуры решения споров 2.5. Плата за услуги 2.5.1. Плата за выпуск и повторный выпуск сертификата 2.5.2. Плата за доступ к сертификату 2.5.3. Плата за доступ к информации об аннулировании и статусе сертификата 2.5.4. Плата за другие услуги 2.5.5. Политика компенсации PDF created with pdfFactory Pro trial version www.pdffactory.com Приложение 1 2.6. Публикация и реестр 2.6.1. Публикация информации УЦ 2.6.2. Частота публикации 2.6.3. Контроль доступа 2.6.4. Реестры 2.7. Аудит деятельности субъектов 2.7.1. Частота проверок для каждого субъекта 2.7.2. Личность/квалификация аудитора 2.7.3. Отношение аудитора к субъекту 2.7.4. Темы, охватываемые аудитом 2.7.5. Действия в результате обнаружения нарушений О 7 А А ил ТТ1Г7 пАчх/тп-тятгт 2.7.6. Анализ результатов 2.8. Конфиденциальность 2.8.1. Виды данных, хранимых конфиденциально 2.8.2. Виды данных, не относящихся к конфиденциальной информации 2.8.3. Раскрытие информации о причинах аннулирования или приостановления действия сертификатов 2.8.4. Политика раскрытия информации официальным представителям правоохранительных органов 2.8.5. Раскрытие информации для гражданских судебных исков 2.8.6. Раскрытие информации по запросу ее собственника 2.8.7. Другие обстоятельства раскрытия информации 2.9. Права на интеллектуальную собственность 3. Идентификация и аутентификация 3.1. Начальная регистрация 3.1.1. Типы имен 3.1.2. Многозначность имен 3.1.3. Правила интерпретации различных форм имени 3.1.4. Уникальность имен 3.1.5. Процедура разрешения споров о праве на имя 3.1.6. Признание, аутентификация и роль торговых марок 3.1.7. Доказательство владения секретным ключом 3.1.8. Аутентификация юридического лица _ 3.1.9. Аутентификация физического лица 3.2. Обычное возобновление ключа 3.3. Повторный выпуск ключа после аннулирования 3.4. Запрос об аннулировании ключа PDF created with pdfFactory Pro trial version www.pdffactory.com 216 Основы технологии PKI 4. Операционные требования 4.1. Запрос о выдаче сертификата 4.2. Выпуск сертификата 4.3. Принятие сертификата 4.4. Приостановление и аннулирование сертификата 4.4.1. Обстоятельства аннулирования сертификата 4.4.2. Круг лиц, имеющих право подавать запрос об анну лировании 4.4.3. Процедуры запроса об аннулировании 4.4.4. Срок запроса об аннулировании 4.4.5. Обстоятельства приостановления сертификата 4.4.6. Круг лиц, имеющих право подавать запрос о приос тановлении 4.4.7. Процедуры формирования запроса о приостановле нии 4.4.8. Ограничения на срок приостановления 4.4.9. Частота выпуска САС 4.4.10. Требования к проверке САС 4.4.11. Возможность проверки аннулирования/статуса сертификата в оперативном режиме 4.4.12. Требования к проверке аннулирования в опера тивном режиме 4.4.13. Другие формы объявления об аннулировании 4.4.14. Требования к проверке других форм объявления об аннулировании 4.4.15. Специальные требования в случае компрометации ключа 4.5. Процедуры контроля безопасности 4.5.1. Типы регистрируемых событий 4.5.2. Частота обработки контрольных журналов 4.5.3. Срок хранения контрольных журналов 4.5.4. Защита контрольных журналов 4.5.5. Процедуры создания резервных копий контрольных журналов 4.5.6. Характеристика системы накопления данных кон трольного журнала 4.5.7. Уведомление субъекта, виновного в нарушении 4.5.8. Оценки уязвимости PDF created with pdfFactory Pro trial version www.pdffactory.com Приложение 1 _ 4.6. Архивные записи 4.6.1. Типы фиксируемых событий 4.6.2. Срок хранения в архиве 4.6.3. Защита архива 4.6.4. Процедуры создания резервной копии архива 4.6.5. Требования проставления метки времени записей 4.6.6. Характеристика системы сбора архива (внутренняя или внешняя) 4.6.7. Процедуры получения и проверки архивной ин- формации _ 4.7. Смена ключа 4.8. Процедуры восстановления в случае компрометации или сти хийного бедствия 4.8.1. Порча вычислительных ресурсов, программного обеспечения и/или данных 4.8.2. Аннулирование открытого ключа субъекта 4.8.3. Компрометация ключа субъекта 4.8.4. Меры безопасности в случае стихийного или иного бедствия 4.9. Прекращение деятельности У Ц 5. Физические, процедурные и кадровые средства управления безопасностью 5.1. Физические средства управления безопасностью 5.1.1. Местонахождение и конструкция узла 5.1.2. Физический доступ 5.1.3. Электропитание и кондиционирование 5.1.4. Контроль риска затопления 5.1.5. Пожарная охрана и защита 5.1.6. Защита среды хранения системы 5.1.7. Размещение отходов 5.2. Процедурный контроль 5.2.1. Доверительные должности 5.2.2. Количество лиц, требуемых для выполнения зада ния 5.2.3. Идентификация и аутентификация для каждой должности PDF created with pdfFactory Pro trial version www.pdffactory.com 218 Основы технологии PKI 5.3. Кадровые средства управления безопасностью 5.3.1. Требования к проверке уровня благонадежности и компетентности персонала 5.3.2. Процедуры проверки уровня благонадежности и компетентности персонала 5.3.3. Требования к подготовке 5.3.4. Частота переподготовки и требования к ней 5.3.5 Частота и последовательность смены деятельности 5.3.6. Санкции за несанкционированные действия 5.3.7. Требования к персоналу, работающему по контрак ту _ 5.3.8. Документация для работы персонала 6. Технические средства управления безопасностью 6.1. Генерация и инсталляция пар ключей 6.1.1. Генерация пары ключей 6.1.2. Доставка секретного ключа субъекту 6.1.3. Доставка открытого ключа субъекта издателю сер тификата 6.1.4. Доставка открытого ключа УЦ пользователям 6.1.5. Размеры ключа 6.1.6. Генерация параметров открытого ключа 6.1.7. Проверка качества параметров 6.1.8. Аппаратная / программная генерация ключа 6.1.9. Назначение ключа 6.2. Защита секретного ключа 6.2.1. Стандарты на криптографический модуль 6.2.2. Контроль секретного ключа несколькими лицами 6.2.3. Депонирование секретного ключа 6.2.4. Создание резервной копии секретного ключа 6.2.5. Хранение секретного ключа в архиве 6.2.6. Ввод секретного ключа в криптографический мо дуль 6.2.7. Способ активации секретного ключа 6.2.8. Способ деактивации секретного ключа _ 6.2.9. Способ уничтожения секретного ключа 6.3. Другие аспекты управления ключами 6.3.1. Хранение в архиве открытого ключа 6.3.2. Периоды использования открытых и секретных ключей PDF created with pdfFactory Pro trial version www.pdffactory.com Приложение 1 6.4. Данные активации 6.4.1. Генерация и инсталляция данных активации 6.4.2. Защита данных активации _ 6.4.3. Другие аспекты активации данных 6.5. Управление компьютерной безопасностью 6.5.1. Специфические технические требования компью терной безопасности _ 6.5.2. Рейтинг компьютерной безопасности_ 6.6. Технический контроль жизненного цикла 6.6.1. Контроль разработки системы 6.6.2. Контроль управления безопасностью 6.6.3. Рейтинги безопасности жизненного цикла 6.7. Контроль сетевой безопасности 6.8. Контроль поддержки криптографического модуля 7. Форматы сертификата и списка аннулированных сертификатов 7.1. Формат сертификата.1. Номер версии.2. Дополнения сертификата.3. Идентификаторы объекта криптографического ал- горитма 7.

.4. Типы имен.5. Ограничения на имена 7.

7.1.6. Идентиф икатор объекта ППС 7.1.7. Использование ограничителей политики 7.1.8. Синтаксис и семантика спецификаторов политики 7.1.9. Семантика обработки критичной для ведения биз- неса политики применения сертификатов 7.2. Формат списка аннулированных сертификатов 7.2.1. Номера поддерживаемых версий списка аннулиро ванных сертификатов 7.2.2. Список аннулированных сертификатов и пункт распространения САС _ 8. Администрирование спецификации 8.1. Процедуры изменения спецификации 8.2. Политика публикации и уведомления 8.3. Процедуры утверждения регламента PDF created with pdfFactory Pro trial version www.pdffactory.com 220 Основы технологии РК ПРИЛОЖЕНИЕ 2. СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА ПРОГРАММНЫХ ПРОДУКТОВ Програм- Baltimore ВТ ENTRUST ЮМ Trust RSAKeon мный UniCERT TRUST / PKI5.0 Authority Certifi продукт 5.0 ONSITE 3.1. cation 4.5 Authority 6.5.

Поддержка се ртификатов Формат X.509v3 X.509v3 X.509v3 X.509v3 X.509v сертификата Дополнения Почти все X.509v3, Да, в том сертификата Допол- PKIX, FPKI числе до Да Да стандарт- нения Enterprise, полнения, ные/частные заказчика Web, SET, опреде VPN, PKIX, ляемые Да/да Да/да FPKI пользова телем Методы аннулирования Через САС Да Да Да Да файлы LDIFvS Протокол Да Да Да Да Да OCSP (VeriSign) Пункты Да Да Да Нет Нет распро странения САС Расширяемость Модуль- Отдельные Модули Модуль УЦ Модули Модули модули, УЦиРЦ работает на CA/Audit УЦиРЦ ность которые размеща- отдельной Server, RA могут раз могут быть ются на рабочей Server и мещаться размешены разных станции и Directory вместе, для вместе и на компьюте- одновре- размеща- других отдельных рах менно ются на модулей компьюте- взаимо- разных требуются рах действует компьюте- отдельные со многими рах компьютеры РЦ Макси- Нет огра- Нет огра- Сертифи- Свыше 30 Нет огра мальное ничений на ничений на каты для 1 млн ничений на количество количество количество млн поль- количество серти- сер- сер- зователей сер фикатов тификатов тификатов тификатов PDF created with pdfFactory Pro trial version www.pdffactory.com Приложение Програм- Baltimore ВТ ENTRUST / IBM Trust RSAKeon мный UniCERT TRUST PKI5.0 Authority Certifi продукт 5.0 ONSITE 3.1. cation 4.5 Authority 6.5.

Безопасность Коммуни- PKCS#10/7 Через счи- PKIX-CMP SSL SSL тывание кации с PKCS#12 РК1Х#7/ PIN-кода клиентом или по эл.

Почте Коммуни- Подписан- Защищен- Защищен- Подписан PKIX CMP кации ме- ные сооб- ные тран- ный ные сооб жду УЦ/РЦ щения PKIX закции SPKM/GS щения CMP S-API сеанс РКГХСМР связи Защита Про- Смарт- Цифровые Пароли или Смарт УЦ/РЦ граммные карты удостове- смарт-карты, карты или аппа- рения лич- списки /токены ратные ности ад- управления модули министра- доступом, безопасно- торов, аппаратные сти с кон- токены устройства тролем доступа Аппаратная Устройства Крипто Да Да Нет защита Chrysalis, графический Zaxus сопроцессор корневых (Racal) и IBM 4758, ключей УЦ Atalla смарт-карты опология I KI - Способы Сетевая, Только Сетевая, Двусто- Сетевая и сертифи- иерархи- иерархи- иерархи- ронняя иерархи кации ческая ческие PKJ ческая и РКГХСМР ческая гибридная РКГХСМР PKCS#lQ/ Глубина Любая Любая Любая Любая Любая иерархии Множест- Да, макси- Да, без Да, без Нет Да, без венные мальное ограниче- ограниче- ограниче УЦ/РЦ число РЦ ний ний. ний для одного УЦ- PDF created with pdfFactory Pro trial version www.pdffactory.com 222 Основы технологии РК RSAKeon Програм- Baltimore ENTRUST IBM Trust Certifi- ВТ мный UniCERT TRUST Authority cation / продукт ONSITE PKI5.0 3.1. Authority 5. 4.5 6.5.

Механизмы регистрации Личное Да Да Да Да Да присутст- вие Web Да Да Да Да Да Электрон- Да Да Да Да Да ная почта VPN Да Да Да Да Да Поддержка каталога Собствен- Собствен- Собствен- Поддержка Собствен- Собствен- ный ката- ный ката- ный и че- любого ный ката- ный ката- лог или лог и ката- рез модуль каталога лог и ката- лог и ката- каталог лог треть- интегра- LDAPv2 лог треть- лог треть- третьей ей сторо- ции в лю- или v3, ей сторо- ей сторо- стороны специфи- ны (LDAP) ны (LDAP) ны бой LDIFvS - ческих совмести- каталогов мый ката- (Compaq, Lotus лог Domino, Novell, Oracle и ДР-) Поддержка смарт-карт Устройст- Смарт- Стандарты Смарт- Стандарты Смарт- ва / Стан- карты: для смарт- карты: для смарт- карты/ Datacard карт: ISO ActivCard, карт аппарат дарты 320/310, 7816-1/2/3, DataKey, PKCS#11, ные клю- Gempuls, PKCS, Gempuls, MSCAPI чи: Setec Luna PC/SC NDS, Sony RSA crypto tokens Workgroup (стандарт card, RSA Стандарт Specifica- PKCS#11) SecurlD для смарт- tions, Биометр. token карт - Х.509 устройства Стандар- PKCS#1 1 и смарт- ты: PC/SC, карты: PKCS# Amer.Biom etric Com- pany, Bio- Metrixn ДР.

PDF created with pdfFactory Pro trial version www.pdffactory.com Приложение Програм- Baltimore ВТ ENTRUST / IBM Trust RSAKeon мный UniCERT TRUST PKI5.0 Authority Certifi продукт 5.0 ONSITE 3.1. cation 4.5 Authority 6.5.

Поддержка смарт-карт Защита Обычно Смарт- Смарт- Смарт- Смарт- клиентско- PIN-коды карты карты и карты карты, го ПО и пароли биометри- (обычные аппарат- ческие и вирту- ные ключи устройства альные) Защита Программ- Смарт- Аппарат- Только Смарт- админист- ная/смарт- карты ные уст- средства- карты, ратора УЦ кар- ройства ми опера- аппарат- ты/токены ционной ные ключи системы Защита Программ- Смарт- Смарт- Смарт- Смарт- админист- ная/смарт- карты карты карты карты, ратора РЦ кар- (РКС8Ш, аппаратные ты/токены MS CAP!) ключи Управление ключами Автомати- Нет Нет Да, в том Нет Нет ческое числе об- обновле- новление ние клю- пары клю- чей чей УЦ Автомати- Нет Нет Да Нет Нет ческое управле- ние исто- риями ключей Восста- Да - через Резервное Резервное Да Нет новле- сервер копирова- копирова ние/резерв архива ние только ние клю- ное копи- ключей чей шиф- рование шифрова- рования ключей ния модулем RSA Кеоп KRM PDF created with pdfFactory Pro trial version www.pdffactory.com 224 Основы технологии PKI Програм- Baltimore ВТ IBM Trust RSA Keen ENTRUST мный UniCERT TRUST Authority Certification продукт 5.0 ONSITE 3.1. Authority PKI 5. 4.5 6.5.

Функциональная совместимость PKIX, RSA, X.509v3 X.509v3, X.509v3, X.509v3, УЦ DSA, PKIX, RSA, PKIX, RSA, DSA, (поддер DSA, ECDSA, CMMF, ECDSA, живаемые ECDSA, устройства RSA, MD-5, российские стандарты) IDEA, через SHA-1, ГОСТы CAST, DBS, PKCS# 3- DES, SHA-1, MD-2, MD-5, RIPEMD, RC2, AES, PKCS#1, #3, #5, #7, #8, #10 # РЦ (поддер- PKIX, RSA, X.509v3, PKIX X.509v3, X.509v живаемые DSA, PKIX, PKIX CMP, RSA, DSA, стандарты) ECDSA, CMP, CEP, CMMF, ECDSA, устройства GSS- SSL, российские через APVSPKM PKCS#7, ГОСТы PKCS#11 #10# SSL, PKCS#1, #3, #5, #7, #8, #10 # Крипто- PKCS# FIPS 140- PKCS# IBM 4758, PKCS#11, графиче- level 2 PKCS#1 FIPS 140- ское аппа- level ратное обеспече ние LDAP, Каталоги LDAP LDAP LDAP LDAP DAP Протоко- X.509v3 X.509v3 X.509v3 X.509v3 X.509v лы серти- фикатов PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий ГЛОССАРИЙ Авторство информации Однозначное соответствие между содержанием и/или формой информации и субъектом (объектом), сформировавшим эту инфор мацию. Для пользователя авторство полученной им из системы или по каналу связи информации означает однозначное установление источника, сформировавшего эту информацию (ее автора).

Аннулирование сертификата Признание сертификата недействительным в период его дей ствия в случаях компрометации секретного ключа или изменения атрибутов сертификата с момента его выпуска (например, при изме нении имени пользователя).

Аутентификация Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности. Аутентификация осуществляется на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и инфор мационная система.

Аутентификация информации Установление подлинности информации исключительно на основе внутренней структуры самой информации независимо от ис точника этой информации, установление законным получателем (возможно арбитром) факта, что полученная информация наиболее вероятно была передана законным отправителем (источником) и при этом не была заменена или искажена.

Аутсорсинг Выполнение отдельных задач проекта компании сторонними организациями, специализирующимися в этой области.

Биометрическая аутентификация Аутентификация, опирающаяся на уникальные биологические показатели человека. К основным биометрическим идентификато рам относятся отпечатки пальцев, рукописные подписи, образцы голоса, результаты сканирования сетчатки и радужной оболочки глаза, формы ладони или черт лица.

PDF created with pdfFactory Pro trial version www.pdffactory.com 226_Основы технологии PKI _ Браузер Программа, обеспечивающая доступ к текстовым и графиче ским страницам World Wide Web.

Верификация (проверка) электронной подписи документа Проверка соотношения, связывающего хэш-функцию доку мента, подпись под этим документом и открытый ключ подписавше го пользователя. Если рассматриваемое соотношение оказывается выполненным, то подпись признается действительной, а сам доку мент - подлинным, в противном случае документ считается изме ненным, а подпись под ним - недействительной.

Взаимная (перекрестная) сертификация Двусторонний процесс сертификации двух доверенных цен тров.

Владелец информации Субъект, осуществляющий владение и пользование информа цией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.

Выпуск сертификата Генерация сертификата и уведомление владельца, зафиксиро ванного в нем, о подробном содержании этого сертификата.

Депонирование ключей Предоставление копий секретных ключей третьей стороне и разрешение пользоваться ими при определенных обстоятельствах, в качестве третьей стороны чаще всего выступают правительствен ные учреждения и правоохранительные органы. Депонирование ключей может быть возложено на независимое подразделение внут ри организации, развертывающей PKI, или на внешнее агентство.

Доверяющая сторона Лицо, которое получает сертификат и полагается на него при совершении сделок или обмене сообщениями.

Доказательство доставки данных Атрибут сервиса неотказуемости. Гарантирует, что сторона, принимающая информацию, не сможет отрицать того, что получила сообщение.

PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий Доказательство происхождения данных Атрибут сервиса неотказуемости. Гарантирует, что сторона, отправляющая информацию, не сможет отрицать того, что сообще ние отправлено ей.

Документ Документированная информация, снабженная определенными реквизитами.

Документированная информация Зафиксированная на материальном носителе информация с ре квизитами, позволяющими ее идентифицировать.

Домен безопасности Группа (компания, рабочая группа или коллектив), сертифика ты которой выпущены одним и тем же удостоверяющим центром.

Домен доверия Множество субъектов, сертификаты которых выпущены од ним и тем же удостоверяющим центром. Пользователи, чьи серти фикаты подписаны данным удостоверяющим центром, могут пола гаться на идентичность другого пользователя, который владеет сер тификатом, выпущенным тем же удостоверяющим центром.

Дополнения сертификата Необязательные атрибуты сертификата, позволяющие вклю чать в сертификат информацию, которая отсутствует в основном содержании сертификата.

Заверение (нотаризация) Регистрация данных у доверенного третьего лица для повы шения уверенности в правильности таких характеристик, как содер жание, источник данных, время доставки.

Закрытая система PKI Характеризуется наличием договоров, определяющих права и обязанности всех участников системы в отношении аутентифика ции сообщений или транзакций.

Идентификация Идентификацией субъекта называется процесс сопоставления введенной им своей характеристики с некоторым хранимым систе мой идентификатором. В дальнейшем идентификатор субъекта ис- PDF created with pdfFactory Pro trial version www.pdffactory.com 228_ Основы технологии PKI_ пользуется для предоставления субъекту определенного уровня прав и полномочий.

Иерархия доверия Система проверки цифровых сертификатов. Каждый сертифи кат связан с сертификатом подписи того субъекта, который снабдил его цифровой подписью. Так, сертификат абонента связан с серти фикатом УЦ низшего уровня, который, в свою очередь, связан с сер тификатом УЦ более высокого уровня и так далее до УЦ высшего уровня. Следуя по цепочке доверия до известной доверенной сторо ны, можно убедиться в действительности сертификата.

Инфраструктура открытых ключей (ИОК) Технологическая инфраструктура и сервисы, гарантирующие безопасность информационных и коммуникационных систем, ис пользующих алгоритм с открытыми ключами.

Криптографическая защита Защита данных при помощи криптографического преобразо вания данных.

Криптографический ключ Последовательность символов, которая контролирует крипто графические операции (шифрование, расшифрование, вычисление хэш-функции, вычисление или проверку цифровой подписи).

Криптографический модуль Комплекс программных, программно-аппаратных и аппарат ных средств, используемый с целью гарантирования безопасности при генерации, хранении и применении криптографического ключа.

Криптографические операции К криптографическим операциям относятся:

• шифрование и (или) расшифрование данных;

• генерация и (или) верификация цифровых подписей;

• генерация криптографических контрольных сумм;

• верификация контрольных сумм;

• безопасное хэширование;

• шифрование и (или) расшифрование криптографических ключей.

PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий _ Криптографическое преобразование Преобразование данных при помощи шифрования и (или) вы работки имитовставки.

Криптосистема с открытыми ключами Один из асимметричных криптографических алгоритмов, ис пользующих два ключа (открытый ключ и секретный ключ), соот ветствующих друг другу. Если информация зашифровывается одним ключом (открытым), система может расшифровать ее при помощи другого ключа (секретного). Аналогично, если информация подпи сывается одним ключом (секретным), абонент может использовать другой ключ (открытый) для аутентификации лица, поставившего подпись. Атрибуты этих двух ключей не позволяют вычислить сек ретный ключ, даже если известен открытый ключ.

Компрометация ключей Утрата доверия к тому, что используемые ключи обеспечива ют безопасность информации.

Контроль доступа (управление доступом) Процесс ограничения доступа к ресурсам системы только раз решенным субъектам или объектам.

Корневой удостоверяющий центр Удостоверяющий центр, находящийся на вершине иерархии в инфраструктуре открытых ключей, выпускает самоподписанный сертификат и сертификаты для подчиненных удостоверяющих цен тров.

Модель доверия Модель, задающая порядок сертификации одних удостове ряющих центров другими.

Мостовой удостоверяющий центр Удостоверяющий центр, предназначенный для установления связей между разнородными инфраструктурами открытых ключей.

Набор положений РК Совокупность положений практики и/или политики PKI, охва тывающих круг стандартных тем для формулирования политики применения сертификатов или регламента.

PDF created with pdfFactory Pro trial version www.pdffactory.com 230 Основы технологии PKI Некорректный электронный документ Электронный документ, не прошедший процедуры расшифро вания данных, проверки электронной цифровой подписи информа ции, контроля формата документов, а также документ, имеющий искажения в тексте сообщения (наличие символов, букв или цифр в расшифрованном (открытом) тексте документа, не позволяющих понять его смысл).

Неотказуемость получения Невозможность для получателя отрицать прием информации, поскольку свидетельство получения (например, цифровая подпись) доказывает связь между атрибутами получателя и информацией.

Открытая система PKI Характеризуется отсутствием формальных договоров, регули рующих отношения субъектов системы.

Открытый ключ Криптографический ключ, который связан с секретным с по мощью особого математического соотношения. Открытый ключ из вестен всем другим пользователям системы и предназначен для про верки электронной цифровой подписи и расшифрования, позволяет определить автора подписи и достоверность электронного докумен та, но не позволяет вычислить секретный ключ.

Оцифрованная подпись Подпись, получаемая в результате сканирования рукописной подписи и используемая в качестве заменителя собственноручной подписи.

Пара ключей (ключевая пара) Открытый ключ, используемый в криптосистеме с открытыми ключами, и соответствующий ему секретный ключ.

Приостановление сертификата Временное аннулирование сертификата в период его действия.

Подписчик (абонент) сертификата Лицо, которое заключает с удостоверяющим центром договор об обслуживании и становится владельцем сертификатов, выпущен ных УЦ.

PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий _ Политика применения сертификатов Установленный набор правил, характеризующих возможность применения сертификата определенным сообществом и/или для класса приложений с определенными требованиями безопасности.

Политика применения сертификатов позволяет доверяющей стороне оценить надежность использования сертификата для определенного приложения.

Пользователь сертификата Лицо, которое использует сертификат, например, подписчик сертификата, его агент или доверяющая сторона.

Профиль сертификата Набор характеристик, которые задают тип данного сертифи ката.

Путь доверия Связывает доверяющую сторону с одной или многими треть ими доверенными сторонами и позволяет конфиденциально прове рять законность используемого доверяющей стороной сертификата.

Разностный список аннулированных сертификатов Список, фиксирующий изменения списка аннулированных сертификатов, произошедшие с момента выпуска последнего.

Расшифрование данных Процесс преобразования зашифрованных данных в открытые при помощи шифра.

Регистрационный центр (РЦ) Лицо (физическое или юридическое), которое с санкции удо стоверяющего центра выполняет функции аутентификации в про цессе выпуска или аннулирования сертификата. Регистрационный центр не выпускает сертификаты и не ведет списки аннулированных сертификатов.

Регламент УЦ Документ, который устанавливает процедуры сертификации в соответствии с политикой конкретного удостоверяющего центра.

Роуминг сертификатов и открытых ключей Технология, обеспечивающая свободу применения пользова телями своих сертификатов и ключей на разных компьютерах. Реа ли^ется чепез ппогпаммное обеспечение тпетьей стопоны. Септи- PDF created with pdfFactory Pro trial version www.pdffactory.com 232_Основы технологии PKI _ фикаты и секретные ключи пользователей размещаются на защи щенном центральном сервере. Будучи соответствующим образом сконфигурированным в любой системе, программное обеспечение дает возможность пользователю осуществлять доступ к своей паре ключей.

Секретный (закрытый) ключ Ключ асимметричной ключевой пары, который доступен только одному пользователю системы и хранится им в тайне. В сис теме цифровой подписи определяет преобразование подписи, в асимметричной системе шифрования определяет преобразование расшифрования.

Сервис безопасности Совокупность механизмов, процедур и других средств управ ления для снижения рисков, связанных с угрозой утраты или рас крытия данных.

Сервис неотказуемости Распространенное название сервиса предотвращения отказа от участия в обмене информацией, гарантирующего, что стороны, от правляющие и принимающие электронные сообщения или докумен ты, не смогут отрицать свое участие в информационном обмене в целом или на отдельных его этапах.

Сертификат Цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра и т.д.

Сертификат сервера Цифровой сертификат, выпущенный удостоверяющим цен тром для web-сервера. Предназначен для аутентификации web сервера при выполнении транзакций, основанных на протоколе SSL.

Сертификация Процесс выпуска сертификатов для физических и юридиче ских лиц, оборудования и т.д.

PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий _ Список аннулированных сертификатов (САС) Список недействительных сертификатов, в большинстве слу чаев генерируется доверенным центром.

Сервер восстановления ключей Сервер инфраструктуры открытых ключей, который поддер живает создание резервных копий и восстановление ключей шифро вания конечных субъектов.

Сервер каталогов Сервер инфраструктуры открытых ключей, который хранит информацию о сертификатах и атрибутах субъектов сертификатов открытых ключей.

Сервер сертификатов Сервер инфраструктуры открытых ключей, на который возла гаются функции выпуска и управления сертификатами, защищенно го хранения секретного ключа удостоверяющего центра, поддержки жизненного цикла сертификатов и ключей, восстановления данных, ведения контрольного журнала и регистрации всех операций удо стоверяющего центра.

Система асимметричного шифрования Система, основанная на асимметричных методах, когда откры тое преобразование используется для шифрования, а соответствую щее секретное преобразование - для расшифрования.

Согласование ключа Процесс установления общего ключа для взаимодействия ме жду пользователями, при котором ни один из пользователей не мо жет предопределять значение этого ключа.

Сообщение Строка битов некоторой длины.

Токен Устройство хранения криптографических ключей, аппаратный ключ.

Транспортировка ключа Защищенный процесс передачи ключа от одного пользователя к другому.

PDF created with pdfFactory Pro trial version www.pdffactory.com 234 Основы технологии PKl _ Управление ключами Создание (генерация) ключей, их хранение, распространение, удаление (уничтожение), учет и применение в соответствии с поли тикой безопасности.

Удостоверяющий центр (УЦ) Доверенное лицо (физическое или юридическое), которое вы пускает, публикует, аннулирует сертификаты, приостанавливает их действие.

Хэш-код (дайджест) Строка битов фиксированной длины, полученная из строки битов произвольной длины при помощи математической операции над данными, является выходом хэш-функции.

Хэш-функция (функция хэширования) Функция, которая переводит строку битов произвольной дли ны в строку битов фиксированной длины. По данному значению хэш-функции вычислительно невозможно найти аргумент, а по дан ному аргументу хэш-функции вычислительно невозможно найти другой аргумент, дающий такое же значение функции.

Цифровая подпись Результат криптографического преобразования, при котором дайджест подписываемого сообщения шифруется секретным клю чом. Цифровая подпись может быть проверена путем сопоставления значения, расшифрованного при помощи открытого ключа, и дай джеста исходного сообщения. Так как цифровая подпись может быть выработана только лицом, имеющим секретный ключ, то ре зультат ее использования аналогичен эффекту собственноручной подписи на бумажном документе.

Шифровальный ключ Параметр, используемый в симметричном криптографическом алгоритме, позволяющий отправителю и получателю использовать один и тот же криптографический ключ для шифрования и расшиф рования данных.

Шифрование Шифрование информации - взаимнооднозначное математиче ское (криптографическое) преобразование, зависящее от ключа (сек ретный параметр преобразования), которое ставит в соответствие PDF created with pdfFactory Pro trial version www.pdffactory.com Глоссарий блоку открытой информации, представленной в некоторой цифровой кодировке, блок шифрованной информации, также представленной в цифровой кодировке.

Шифрование документов (текстов) Преобразование формы исходных (открытых) текстов сооб щений таким образом, что их смысл становится непонятным для любого лица, не владеющего секретом обратного преобразования.

Шифротекст Зашифрованная информация Электронный документ Представляет собой задокументированную совокупность дан ных, зафиксированных на материальном носителе (магнитном или бумажном) с реквизитами, позволяющими идентифицировать эту информацию и авторов документа. Идентификация электронного документа обеспечивается средствами защиты на основе алгоритмов шифрования, электронной цифровой подписи и защиты от несанк ционированного доступа.

Электронная цифровая подпись (ЭЦП) Данные, добавляемые к блоку данных, полученные в резуль тате его криптографического преобразования, зависящего от секрет ного ключа и блока данных, которые позволяют приемнику данных удостовериться в целостности блока данных и подлинности источ ника данных, а также обеспечить защиту от подлога со стороны приемника данных.

AES (Advanced Encryption Standard) Симметричный криптографический алгоритм.

ARL (Authority Revocation List) Список аннулированных удостоверяющих центров, то есть тех удостоверяющих центров, сертификаты которых недействительны.

ASN.l (Abstract Syntax Notation One) Абстрактная синтаксическая нотация, которая была предло жена комитетом разработчиков стандартов взаимодействия откры тых систем для использования с протоколами Х.500. ASN.1 описы вает синтаксис различных структур данных, предоставляя четко оп ределенные примитивные объекты и средства описания комбинаций примитивных объектов.

PDF created with pdfFactory Pro trial version www.pdffactory.com 236_Основы технологии PKI_ DES (Digital Encryption Standard) Симметричный алгоритм шифрования, разработанный специа листами компании IBM и Управлении национальной безопасности США.

DH (Diffie-Hellman) Алгоритм Диффи-Хэллмана, используется для согласования ключей (обмена ключами). Две стороны могут сформировать один и тот же секрет, а затем использовать его для построения сеансового ключа, используемого в симметричном алгоритме.

DNS (Domain Name System) Защищенная система доменных имен DSA (Digital Signature Algorithm) Алгоритм цифровой подписи, разработанный Дэвидом Крави цем. Официальный алгоритм цифровой подписи правительственных учреждений США.

ECDH (Elliptic Curve Diffie-Hellman) Алгоритм эллиптических кривых Диффи-Хэллмана, исполь зуется для решения проблемы распределения ключей.

ECDSA Алгоритм цифровой подписи, использующий эллиптические кривые.

ETSI (European Telecommunications Standards Institute) Европейский институт стандартов связи.

1Р-спуфинг Преднамеренная подмена (имитация) системы с использова нием ее сетевого ЕР-адреса.

НМАС (Hash Message Authentication Checksum) Код аутентификации сообщения на основе вычисления хэша.

HTTP (Hypertext Transfer Protocol) Протокол обмена гипертекстовыми документами между HTTP-сервером и браузером клиента.

IETF (Inernet Engineering Task Force) Группа инженерной поддержки Интернет - интернациональ ное сообщество разработчиков, производителей и исследователей, занимающихся обеспечением функционирования и эволюции Ин тернет.

PDF created with pdfFactory Pro trial version www.pdffactory.com _Глоссарий IPSec Стандарты, описывающие архитектуру безопасности Интер нет-протоколов (IP), регламентирующие контроль целостности на уровне IP-пакетов, аутентификацию источника данных и защиту от воспроизведения ранее посланных IP-пакетов, обеспечение конфи денциальности: шифрование содержимого IP-пакетов, а также час тичную защиту от анализа трафика путем применения туннельного режима.

ITU (International Telecommunication Union) Международный союз по телекоммуникациям - международ ная организация, занимающаяся координацией функционирования телекоммуникационных сетей и сервисов, а также публикацией стандартов и рекомендаций в сфере телекоммуникационных техно логий.

IP (Internet Protocol) Протокол передачи данных сетевого уровня группы протоко лов TCP/IP, базовый протокол передачи данных в Интернет.

MD Алгоритм вычисления дайджеста сообщения, разработанный Роном Ривестом. Выдает 128-битный (16-байтный) дайджест сооб щения произвольной длины.

MD Алгоритм вычисления дайджеста сообщения, разработанный 'оном Ривестом для усовершенствования алгоритма MD Object Identifier Идентификатор объекта - указатель, характеризующий поли ику применения сертификатов, используется в сертификате форма 1 Х.509 версии 3.

OCSP (Online Certificate Status Protocol) Онлайновый протокол статуса сертификата, применяется для юверки действительности сертификатов в режиме реального вре ;

ни.

PKCS (Public Key Cryptography Standards) Стандарты криптографии с открытым ключом - неформаль- ie стандарты, разработанные в 1991 году компанией RSA Laborato- s совместно с представителями компьютешл..-^--------- PDF created with pdfFactory Pro trial version www.pdffactory.com 238 Основы технологии PKI PGP (Pretty Good Privacy) Система для защиты секретности файлов и сообщений элек тронной почты в глобальных вычислительных и коммуникационных средах. Полное название системы - Pretty Good Privacy (конфиден циальность - без проблем), была разработана американским про граммистом Филом Циммерманном.

PKIX CMP (PKIX certificate management protocol) Протокол управления сертификатами стандарта PKIX, обеспе чивает связь с PKIX-совместимыми приложениями.

RSA Асимметричный алгоритм шифрования, получил название по инициалам его авторов: Рона Ривеста, Ади Шамира и Лена Элдмана.

Данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с помощью секретного ключа. Используется для решения проблемы распределения ключей и для вычисления цифровой подписи (дайджест сообщения шифруется с помощью секретного ключа).

SET (Secure Electronic Transaction) Протокол защиты платежей по кредитным картам в Интернет.

SSL (Secure Sockets Layer) Протокол, обеспечивающий защиту транзакций в Интернет за счет поддержки шифрования и аутентификации.

SHTTP (Secure Hypertext Transfer Protocol) Расширенный вариант протокола HTTP, который обеспечива ет шифрование данных, передаваемых между web-сайтом и web браузером, а также аутентификацию сервера и клиента.

Triple-DES Симметричный криптографический алгоритм, который вы полняет алгоритм DES три раза.

PDF created with pdfFactory Pro trial version www.pdffactory.com _ Список использованной литературы_ Список использованной литературы 1. Балакирский В.Б. Безопасность электронных платежей // Защита информации. Конфидент. 1996. № 5.

2. Бернет С., Пэйн С. Криптография: Официальное руково дство RSA Security. M.: Бином-Пресс, 2002.

3. Бруно Л. Certificate Authorities: Кому Вы доверяете? // Data Communications (Russian edition). 1998. № 3.

4. Варфоломеев А.А., Пеленицын М.Б. Методы криптографии и их применение в банковских технологиях. М.: МИФИ, 1995.

5. Варфоломеев А.А., Домнина О.С., Пеленицын М.Б. Управ ление ключами в системах криптографической защиты банковской информации. М.: МИФИ, 1996.

6. Вонг У. Обслуживание цифровых сертификатов // LAN/ Журн. сетевых решений. 1998. № 7-8.

7. Галатенко В.А. Информационная безопасность: Обзор ос новных положений // Информ. бюлл. Jet Info. 1996. № 1-3.

8. Галатенко В.А. «Стандарты в области безопасности распре деленных систем // Информ. бюлл. Jet Info. 1999. № 5.

9. Горбатов B.C., Полянская О.Ю. Доверенные центры как звено системы обеспечения безопасности корпоративных информа ционных ресурсов // Информ. бюлл. Jet Info. 1999. № 11 (78).

10. Горбатов B.C., Полянская О.Ю. Программная поддержка инфраструктуры с открытыми ключами // Безопасность информ.

технологий. Вып.2. МИФИ, 2001.

И. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

12. ГОСТ 28147-89. Государственный стандарт Российской Федерации. Системы обработки информации. Защита криптографи ческая. Алгоритм криптографического преобразования.

13. ГОСТ Р 34.10-94. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая за щита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма.

PDF created with pdfFactory Pro trial version www.pdffactory.com 240_ Основы технологии PKl_ 14. ГОСТ Р 34.11-94. Государственный стандарт Российской Федерации. Информационная технология. Криптографическая за щита информации. Функция хеширования.

15. ГОСТ Р 34.10-2001 Государственный стандарт Российской Федерации. Информационная технология. Криптографическая за щита информации. Процессы формирования и проверки электрон ной цифровой подписи 16. Давыдов А.Н. Обзор инфраструктур открытых ключей / Пензен. гос. ун-т. Тр. науч.-техн. конф. Безопасность информ. тех нологий. Т. 1. Пенза, июнь 2001. www.beda.stup.ac.ru/RV- conf/vOl/015/.

17. Дэлтон Куртис Е. PKI в Windows 2000: вызов или призыв?

// LAN/ Журнал сетевых решений. 2001. № 1.

www.osp.ru/lan/2001/01/096.htm.

18. Дубова Н. От TrustedWeb к «защищенному предприятию // Открытые системы.. 2000. № 5- 19. Закон РФ «Об электронной цифровой подписи» 20. Зиммерман Ф.Р. PGP: концепция безопасности и уязвимые места // Компьютерра. 1997. № 48.

www.computerra.ru/offline/1997/225/925/ 21. Кадощук И. Как нам организовать PKI // Сетевой журн.

2000. № 9. www.setevoj.ru.

22. Карве А. Инфраструктура с открытыми ключами // LAN/ Журн. сетевых решений. 1997. № 8.

23. Карве А. Защищенный обмен сообщениями // LAN/ Журн.

сетевых решений. 1998. № 12.

24. Карве A. PKI - инфраструктура защиты следующего поко ления // LAN/ Журн. сетевых решений. 1999. № 7.

25. Карпов А. Г. достоверяющий центр в системе электронно го документооборота. Опыт построения открытых систем.

www.aladdin.ru/infocom2002_tesis.html# 26. Карр Д. Биометрические устройства новой волны // LANy Журн/сетевых решений. 2001. № 12. www.osp.ru/lan/2001/12/072.htir 27. Купи Т. Серверы сертификатов, или Общение без страха /, Сети. 1997. №9.

PDF created with pdfFactory Pro trial version www.pdffactory.com _ Список использованной литературы_ 28. Лукацкий А.В. Как обеспечить подлинность электронных документов, www.infosec.ru/press/pub/p50.htm.

29. Месмер Э. Сертификаты достойны вашего внимания // Computerworld Россия. 1998. № 21.

30. Мэтью С. Инфраструктура открытых ключей: состояние и перспективы // Сетевой журн. 2000. № 9. www.setevoj.ru.

31. Никонова Е., Смирнов В., Копылов Д. Некоторые техноло гические аспекты реализации закона об ЭЦП // PC Week. 2002. № 15.

23 апр. www.pcweek.ru.

32. Описание решений компании Baltimore Technologies.

www.weekly.cnews.ru.

33. Пешин Н.Л. Правовые проблемы применения компьютер ных технологий в системе российского права.

www.conf3.parkmedia.ru.

34. Погуляев В., Теренин А. «Информационная безопасность экономических субъектов. zi.nm.ru/publ/is/confident_2_2003.htm.

35. Полянская О.Ю. Проблемы и риски в работе удостове ряющих центров / Тезисы X всерос. науч. конф. «Проблемы инфор мационной безопасности в системе высшей школы». МИФИ, 2003.

\/ 36. Полянская О.Ю. Стандарты и спецификации в области ин фраструктур открытых ключей // Безопасность информационных технологий. Вып.1. МИФИ, 2003.

37. Попов В., Лукацкий A. PKI- технология массового про движения // PCWeek/RE. июнь 2001. www.pcweek.ru.

38. Приказчикова А. О реальном лице юзера.

www.computery.ru.

39. Рапоза Д. Незнакомая PKI // PCWeek/RE. январь 2001.

www.pcweek.ru.

V 40. Саввин И. Перспективы использования защищенного до кументооборота // Рынок ценных бумаг, www.rcb/archive.

41. Семенов Г. Не только шифрование, или Обзор криптотех- нологий // Информ. бюлл. Jet Info2001. № 3 (94).

42. Симонович П.С. Регулирование электронной цифровой подписи нормами права: международный опыт // Журн. рос. права.

2002. № 3. www.xxp-design.ru.

PDF created with pdfFactory Pro trial version www.pdffactory.com 242 Основы технологии PKl 43. Стардеван К. PKI заступает на дежурство // PCWeek/RE, Netweek. 2001. № 6 (276).

www.pcweek.ru/Year2001/N6/CP1251/NetWeek/chaptl.htm 44. Чакон М. Службы каталогов: в единстве - сила // LAN/Журн. сетевых решений. 1999. №10.

45. Че Ли. Задраить люки // LAN/ Журн. сетевых решений.

1996. № 4. www.osp.ru/lan/1996/04/89.htm.

46. Advances and Remaining Challenges to Adoption of Public Key Infrastructure Technology. U.S. General Accounting Office. GAO- 01-277. February, 2001.

47. Architecture for Public-Key Infrastructure (APKI). Open Group Guide. G801. The Open Group. 1998.

www.opengroup.org/onlinepubs/009219899/toc.htm.

48. Aura Tuomas, Ellison Carl. Privacy and Accountability in Cer tification Systems. Helsinki University of Technology, Laboratory for Theoretical Computer Science. Research Report. April 2000.

49. Bobbit Mike. PKI Policy Pitfalls // Information Security Maga zine. July 2001.

50. Brink Derek. PKI and Financial Return on Investment/ A PKI Forum Note. August 2002. www.pkiforum.org/resourcees.html.

51. Burr William, Dodson Donna, Nazario Noel, Polk W. Timothy.

Minimum Interoperability Specification for PKI Components (MISPC), Version 1. NIST SP 800-15. January, 1998.

52. Certification Authority Guidelines. Electronic Commerce Pro motion Council of Japan (ECOM). 1997-1998. www.ecom.or.jp. > 53. CCITT (International Telegraph and Telephone Consultative Committee). Recommendation X.208: Specification of Abstract Syntax Notation One (ASN.l). Geneva. 1988.

54. CCITT. Recommendation X.209: Specification of Basic En coding Rules for Abstract Syntax Notation One (ASN.l). Geneva. 55. CCITT Recommendation X.500: The Directory. Geneva. 56. CCITT. Recommendation X.501: The Directory - Models. Ge neva. 1988.

57. CCITT. Recommendation X.800: Security Architecture for Open Systems Interconnection for CCITT Applications. Geneva. 1991.

PDF created with pdfFactory Pro trial version www.pdffactory.com Список использованной литературы 58. Certification Authority Systems. OCC 99-20, Office of Comp troller of the Currency. May 4. 1999.

59. Ellison Carl, Schneier Brace. Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure // Computer Security Journal, vol. XVI. number 1. 2000.

60. European Trusted Services (ETS) - results of 1995 TTPS pro jects. A. Nilson. Marinade Limited. April 1997.

61. German Draft Digital Signature Law (SigG), English transla tion by Christopher Kuner. 1996.

www.ourworld.compuserve.com/homepages/ckuner/digsig.htm 62. Guideline for Implementing Cryptography in the Federal Gov ernment. NIST SP 800-21. November 1999.

63. Housley R., Polk W. Timothy. Planning for PKI: Best practices for PKI Deployment. Wiley & Sons. 64. Johner H., Fujiwara S., Sm Yeung A., Stephanou A., Whitmore Deploying a Public Key Infrastructure. International Technical Support Organization. SG24-5512-00. February 2000. www.redbooks.ibm.com.

65. ISO/ШС 8824 Object Identifiers (OIDs).

66. ISO/ffiC JT1/SC27 WD 14516-1. Guidelines for the use and management of Trusted Third Party services - Part 1: General Overview.

1995. 11.

67. ISO/ffiC JT1/SC27 WD 14516-2. Guidelines for the use and management of Trusted Third Party services - Part 2: Technical aspects.

1996.6.21.

68. ITU-T (International Telecommunications Union) Recommen dation X.509: Information Technology - Open Systems Interconnection - The Directory: Authentication Framework. 2000.

69. ITU-T Recommendation X.509. Information Technology - Open Systems Interconnection - The Directory Public Key and Attribute Certificate Frameworks. June 2000 (документ эквивалентен ISO/ШС 9594-8 Directory Services, 2000).

70. King Christopher M. Building a Corporate Public Key Infra structure. INFOSEC Engineering, Inc. 1997. www.infoseceng.com.

71. Kiran S., Lareau P., L Lloyd S. PKI Basics - A Technical In troduction // A PKI Forum Note. November 2002.

www.pkiforum.org/resourcees.html PDF created with pdfFactory Pro trial version www.pdffactory.com 244_Основы технологии РК1 _ 72. Kuhn D.Richard, Hu Vincent С., Polk W.Timothy, Chang Shu- Jen. Introduction to Public Key Technology and the Federal PKI Infra structure. National Institute of Standards and Technology. February.

2001.

73. Lareau P. PKI Basics - A Business Perspective // A PKI Forum Note. April 2002. www.pkiforum.org/resourcees.html.

74. Legal and Regulatory Issues for the European Trusted Services Infrastructure - ETS. ISTEV. June 75. Lloyd Steve. Understanding Certification Path Construction // A PKI Forum White Paper. September 2002.

www.pkiforum.org/resources.html.

76. Masse David. G., Fernandes Andrew D. Economic Modelling and Risk Management in Public Key Infrastructures. 1999.

www.masse.org/rsa97/index.html.

77. O'Higgins B. What is the Difference Between a Public Key In frastructure and a Certification Authority.

www.ema.org/html/pubs/mmv4n2/pki.htm.

78. Polk W.Timothy, Hastings Nelson E. Bridge Certification Au thorities: Connecting B2B Public Key Infrastructures. NIST.

79. Public Key Infrastructure: Group Test (Edition 3), NSS Group Report. December 2000. www.NSS.co.uk.

80. Public Key Infrastructure Standards.

www.wiltsec.co.uk/standards/pki.htm.

81. RSA Keon Certificate Authority Product Overview. Technol ogy White Paper, www.rsasecurity.com.

82. Secure Electronic Transaction Specification. The Business De scription. www.setco.org/set_specifications.html.

83. Secure Electronic Transaction Specification. Formal Protocol Definition. www.setco.org/set_specifications.html.

84. Secure Electronic Transaction. The Specification Programmer's Guide. www.setco.org/set_specifications.html.

85. Stapleton Jeff. CA Trust // A PKI Forum Note. July 2001.

www.pkiforum.org/resourcees.html.

86. Synopsis of PKI and Related Standards / The Center For In formation Technology Standards. 2000. www.itsi.disa.mil.

PDF created with pdfFactory Pro trial version www.pdffactory.com _ Список использованной литературы _ 87. Understanding Public Key Infrastructure (PKI), Technology White Paper. PKI WP 0999. RSA Security Inc. www.rsasecurity.com.

88. Utah Digital Signature Act (1996).

www.gvnfo.state.ut.us/ccjj/digsig/dsut-act.htm.

89. Xenitellis Symeon (Symos). The Open-source PKI Book OpenCA Team. 1999-2000. ospkibook.sourceforge.net.

90. Younglove Roger. PKI: How It Works NetworkCare White paper. Lucent Technologies Inc. 2000.

www.lucent.com/knowledge/documentdetail.

Документы IETF PKIX RFC по номерам: www.rfc editor.org/cgi-bin/rfcsearch.pl и www.irac.org/ietf-pkix:

91. RFC 2510 Certificate Management Protocols (CMP).

92. RFC2511 Certificate Request Protocol.

93. RFC2527 Certificate Policy and Certification Practices Frame work.

94. RFC2559 LDAP V2 Operational Protocols.

95. RFC2560 Online Certificate Status Protocol (OCSP).

96. RFC2585 HTTP/FTP Operations.

97. RFC2587 LDAP V2 Schema.

98. RFC2797 Certificate Management Messages over CMS (CMC).

99. RFC2875 Diffie-Hellman Proof-of-Possession (POP) Algo rithms.

100. RFC 3029 Data Validation and Certification Server Protocols 101. RFC 3039 Qualified Certificates Profile.

102. RFC 3161 Time-Stamp Protocol (TSP).

103. RFC 3279 Algorithms and Identifiers for the Internet X.50' Public Key Infrastructure Certificate and Certificate Revocation Lis (CRL) Profile.

104. RFC 3280 Certificate & CRL Profile.

105. RFC 3281 An Internet Attribute Certificate Profile for Au thorization.

106. RFC 2311 S/MIME Version 2 Message Specification.

107. RFC 2312 S/MIMEv2 Certificate Handling.

108. RFC 2630 Cryptographic Message Syntax (CMS).

109. RFC 2632 S/MIME V3 Certificate Handling.

PDF created with pdfFactory Pro trial version www.pdffactory.com 246 Основы технологии PKI 110. RFC 2633 S/MIME V3 Message Specification.

111. RFC 2634 Enhanced Security Services for S/MIME.

112. RFC 2785 Methods for Avoiding the "Small-Subgroup" At tacks on the Diffie-Hellman Key Agreement Method for S/MIME.

113. RFC 2246 TLS Protocol Version 1.0.

114. RFC 2659 Security Extensions For HTML.

115. RFC 2660 The Secure HyperText Transfer Protocol.

116. RFC 2817 Upgrading to TLS Within HTTP.

117. RFC 2818 HTTP Over TLS.

118. RFC 2401 Security Architecture for the Internet Protocol.

119. RFC 2402 IP Authentication Header.

120. RFC 2406 IP Encapsulating Security Payload (ESP).

121. RFC 2408 Internet Security Association and Key Manage ment Protocol (ISAKMP).

122. RFC 2137 Secure Domain Name System Dynamic Update.

123. RFC 2535 Domain Name System Security Extensions.

124. RFC 2536 DSA KEYs and SIGs in the Domain Name System.

125. RFC 2537 RSA/MD5 KEYs and SIGs in the Domain Name System.

126. RFC 2538 Storing Certificates in the Domain Name System.

127. RFC 2539 Storage of Diffie-Hellman Keys in the Domain Name System.

128. RFC 2540 Detached Domain Name System Information.

129. RFC 2541 DNS Security Operational Considerations.

Документы PKCS по номерам:

www.rsasecurity.com/rsalabs/pkcs/:

130. PKCS#1 RSA Cryptography.

131. PKCS #3 Diffie-Hellman Key Agreement.

132. PKCS #5 Password-Based Cryptography.

133. PKCS #6 Extended-Certificate Syntax.

134. PKCS#7 Cryptographic Message Syntax.

135. PKCS #8 Private-Key Information Syntax.

136. PKCS #9 Selected Attribute Types.

137. PKCS#10 Certification Request Syntax.

138. PKCS#11 Cryptographic Token Interface (Cryptoki).

139. PKCS #12 Personal Information Exchange Syntax.

PDF created with pdfFactory Pro trial version www.pdffactory.com _Список использованной литературы 140. PKCS #13 Elliptic Curve Cryptography.

141. PKCS #15 Cryptographic Token Information Format.

Pages:     | 1 |   ...   | 2 | 3 ||



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.