Certyfikaty Standard x.509
Zarządzanie kluczami Kryptografia z kluczami publicznymi umożliwia: bezpieczne komunikowanie się bez potrzeby wcześniejszego wymieniania kluczy. składanie podpisów cyfrowych bez udziału centralnego pośrednika. Ponadto funkcje skrótów umożliwiają efektywne weryfikowanie autentyczności komunikatów T.Boczoriszwili
Certyfikaty Najpierw rozpatrzymy centrum dystrybucji kluczy działające bez przerwy i udostępniające unikalny klucz na każde żądanie. Rozwiązanie to nie jest jednak dobre, z powodu jego niewydolności załamałby się cały system kluczy publicznych. Jest to duża wada. Z tego powodu opracowano inne rozwiązanie, niewymagające ciągłej dostępności centrum dystrybucyjnego. Rozwiązanie to zakłada, że istnienie centrum autoryzacyjnego (Certification Authority) , który odpowiednimi certyfikatami potwierdza autentyczność kluczy należących do określonych osób, firm itp. Gdy Ban będzie chciał otrzymywać zaszyfrowane listy od Any i innych respondentów, przedstawi swój klucz publiczny w CA, (wylegitymuje się paszportem ) otrzyma plik zawierający stosowne prywatnym świadectwo (certyfikat) oraz skrót SHA-1 tego świadectwa, podpisany kluczem CA. T.Boczoriszwili
Certyfikaty KeyID=d4 5a 9e c8 41 66 c6 e0 72 27 c0 7e 69 39 08 6d 6f 4d 03 77 Certificate Issuer: Directory Address: E=me@myhost.mydomain CN=OpenVPN serwer OU=II O=UPH L=Siedlce S=mazowieckie C=PL Certificate SerialNumber=00 e2 0a ec 40 09 79 71 51 Skrót SHA-1 powyższego certyfikatu podpisany kluczem prywatnym CA. Przykład podpisanego certyfikatu klucza publicznego T.Boczoriszwili
Certyfikaty Podstawową funkcją centrum autoryzacyjnego jest powiązanie klucza publicznego z nazwą jego właściciela (osoby fizycznej, firmy itp.). Certyfikaty kluczy nie są w żadnym razie tajne ani chronione; wręcz przeciwnie, Ban może umieścić na swej stronie WWW hiperłącze zaetykietowane „Kliknij tu, aby obejrzeć certyfikat mojego klucza publicznego". Funkcjonowanie centrum autoryzacyjnego (CA) napotkałoby jednak na poważne problemy, gdyby musiało ono obsługiwać żądania certyfikatów w zróżnicowanych formatach. Opracowano więc standard formatu certyfikatów, który zaaprobowany został przez ITU. Standard ten nosi nazwę X.5O9 jest powszechnie wykorzystywany w Internecie. T.Boczoriszwili
Certyfikaty Najważniejszym aspektem standardu X.5O9 jest sposób opisu certyfikatów. Najważniejsze pola tego opisu opisane są w tabeli dokładniejsze informacje - dokumentu RFC 2459. T.Boczoriszwili
Certyfikaty T.Boczoriszwili
Infrastruktura kluczy publicznych (PKI) PKI składa się z wielu komponentów: użytkowników, centrów autoryzacyjnych, certyfikatów i katalogów. Zadaniem PKI jest strukturalne zorganizowanie tych komponentów oraz zdefiniowanie standardów dla rozmaitych dokumentów i protokołów. Root Autorizacja RA1, RA 2 RA 1 RA 2 Podpis Root Autorizacja CA1, CA 2 CA 1 CA 2 CA 3 CA 4 CA 5 Podpis RA1 Centrum autoryzacyjne najwyższego poziomu root zajmuje się wydawaniem certyfikatów organizacjom zlokalizowanym na drugim poziomie hierarchii zwanym zarządcami regionalnymi (Regional Authorities). T.Boczoriszwili
Infrastruktura kluczy publicznych (cd) W kompetencji zarządcy regionalnego pozostaje określony region geograficzny Zarządcy regionalne wydaje certyfikaty X.5O9 dla określonych podmiotów (osób, firm). Utworzenie nowego RA polega na wygenerowaniu dla niego (przez CA) odpowiedniego certyfikatu X.5O9 określającego: klucz publiczny Podpis cyfrowy podpisanego kluczem prywatnym CA. W podobny sposób RA ustanawia nowe CA na swym obszarze kompetencji. T.Boczoriszwili
Infrastruktura kluczy publicznych (cd) Root System ten funkcjonuje następujące: Załóżmy, że An chce sprawdzić wiarygodność klucza Bana, certyfikat związany z tym kluczem podpisany jest przez CA 5. RA 1 RA 2 CA 1 CA 2 CA 3 CA 4 CA 5 An Ban An żąda certyfikat Bana T.Boczoriszwili
Infrastruktura kluczy publicznych (cd) Root System ten funkcjonuje następujące: Załóżmy, że An chce sprawdzić wiarygodność klucza Bana, certyfikat związany z tym kluczem podpisany jest przez CA 5. An kontaktuje się z CA 5, żądając stosownego certyfikatu; CA 5 udostępnia certyfikat podpisany przez RA 2, zawierający klucz publiczny CA 5. An używając ten klucz może już zweryfikować legalność działania CA 5. RA 1 RA 2 CA 1 CA 2 CA 3 CA 4 CA 5 An Ban An żąda certyfikat Certyfikat CA5 jest potrzebny do sprawdzania autentyczności certyfikatu Bana T.Boczoriszwili
Infrastruktura kluczy publicznych (cd) Root Teraz trzeba weryfikować autentyczność RA 2. An żąda od RA 2 dowodów legalności, i otrzymuje od niego podpisany przez root certyfikat określający klucz publiczny RA 2. Teraz An jest już pewna, że klucz publiczny Bana jest autentyczny. A co kluczem publicznym root ? RA 1 RA 2 CA 1 CA 2 CA 3 CA 4 CA 5 Generalnie zakłada się, że klucz ten jest ogólnie znany, na przykład może być zawarty w pakiecie dostarczanym wraz z przeglądarką WWW. Nadal nierozwiązana pozostaje kwestia, kto sprawować ma rolę root CA? Rozwiązanie polega na zrezygnowaniu z bezwzględnej centralizacji i ustanowienie wielu root CA z własnymi RA i CA. Nowoczesne przeglądarki standardowo udostępniają klucze publiczne ponad 100 root zwanych niekiedy potocznie kotwicami zaufania (trust anchors). T.Boczoriszwili
Generacja certyfikatu Openssl genrsa -aes256 -out ca.key 4096 Openssl req -new -x509 -deys 365 -key ca.key -out ca.crt CA Uph.crt Openssl ca -md sha256 -notext -days 365 -keyfile ca.key -cert ca.crt -in uph.csr -out uph.crt Uph.csr Anna Openssl genrsa -aes256 -out uph.key 4096 Openssl req -new -key uph.key -out uph.csr T.Boczoriszwili
Koniec