Comprender PKI/CA en un artículo

Language 2023-04-09 23:29:01 views: null

PKI

1. Seguridad de la información

Con el rápido desarrollo de nuevas tecnologías y aplicaciones como la economía digital, las finanzas por Internet, la inteligencia artificial, los grandes datos y la computación en la nube, han nacido una serie de nuevos modelos y modelos de negocios.La seguridad de la información se ha convertido en uno de los temas más importantes que la sociedad de la información debe abordar con urgencia.

1. 1 La principal forma de ataque

Dado que el almacenamiento, la transmisión y el procesamiento de la información a menudo se llevan a cabo en una red abierta, la información es vulnerable a varios métodos de ataque, como espionaje, intercepción, manipulación, falsificación y reproducción. Entre ellos, la intercepción es un ataque pasivo, mientras que la interrupción, la manipulación, la falsificación y la reproducción son todos ataques activos.

Por favor agregue una descripción de la imagen
(1) Interrupción : La interrupción, también conocida como denegación de servicio, se refiere a impedir o prohibir el uso o la gestión normal de las instalaciones de comunicación, lo que constituye un ataque a la disponibilidad. Este tipo de ataque generalmente tiene dos formas: una es que el atacante elimina todas las unidades de datos de protocolo que pasan a través de una determinada conexión, impidiendo así que todos los mensajes apunten a un destino específico; la otra es paralizar o colapsar toda la red, y los posibles medios Está sobrecargando la red al enviar mensajes no deseados, lo que hace que la red no pueda funcionar normalmente.

(2) Interceptación (Interception) : La interceptación es un espionaje o monitoreo no autorizado de mensajes transmitidos para obtener acceso a un recurso, lo cual es un ataque a la confidencialidad. Los atacantes generalmente escuchan a escondidas la red "interviniendo cables" para obtener el contenido de sus comunicaciones.

(3) Modificación (Modification) : La modificación es para modificar el flujo de datos. Se cambian algunas partes de un mensaje legal, el mensaje se retrasa o se cambia el orden para generar un mensaje no autorizado de propósito especial. Es un protocolo para conexiones Ataques a la autenticidad, integridad y orden de las unidades de datos.

(4) Fabricación : la falsificación se refiere a disfrazar una entidad ilegal como una entidad legal, lo cual es un ataque a la autenticidad de la identidad. Por lo general, se combina con otras formas de ataque activo para tener un efecto de ataque. Por ejemplo, el atacante repite el registro anterior de una secuencia de inicialización de conexión legítima, por lo que obtiene ciertos privilegios que no tiene.

(5) Replay : Replay intercepta una unidad de datos y la retransmite, generando un mensaje no autorizado. En este ataque, el atacante registra una sesión de comunicación y luego reproduce la sesión completa o una parte de ella en un momento posterior.

1.2 Objetivos de la seguridad de la información

La seguridad de la información garantiza principalmente la seguridad de los siguientes cinco aspectos:

(1) Confidencialidad

La confidencialidad se refiere a garantizar que la información no se filtre a usuarios o entidades no autorizados, garantizar que la información almacenada y la información transmitida solo puedan obtenerla las partes autorizadas, y que los usuarios no autorizados no puedan conocer el contenido de la información, incluso si obtienen la información. Por lo general, el control de acceso se usa para evitar que los usuarios no autorizados obtengan información confidencial, y el cifrado se usa para evitar que los usuarios no autorizados obtengan contenido de información.

(2) Integridad

La integridad se refiere a las características de que la información no puede ser manipulada sin autorización, asegurando la consistencia de la información, es decir, no debe haber manipulación artificial o no humana no autorizada (inserción, modificación, eliminación) en el proceso de generación, transmisión, almacenamiento y uso. , reordenación, etc.). Generalmente, el control de acceso se utiliza para evitar la manipulación y, al mismo tiempo, se verifica mediante un algoritmo de resumen de mensajes .

(3) Autenticación

La autenticidad (autenticidad) se refiere a garantizar que la fuente de un mensaje o el mensaje en sí esté correctamente identificado y, al mismo tiempo, garantizar que la identificación no haya sido falsificada, a través de **firmas digitales, códigos de autenticación de mensajes (MAC)** y otros metodos. La autenticación se divide en autenticación de mensajes y autenticación de entidades.

  • La autenticación de mensajes se refiere a la capacidad de asegurar al receptor que el mensaje proviene de la fuente que afirma.
  • La autenticación de entidad se refiere a garantizar que las dos entidades sean creíbles cuando se inicia la conexión, es decir, cada entidad es de hecho la entidad que reclama, y ​​el tercero no puede hacerse pasar por ninguna de las dos partes legítimas.

(4) No repudio (No repudio)

El no repudio se refiere a la capacidad de garantizar que los usuarios no puedan negar la generación, emisión y recepción de información después del hecho.Es un requisito de seguridad para la autenticidad y consistencia de la información entre todas las partes en la comunicación. Para evitar que el emisor o el receptor nieguen el mensaje transmitido, se requiere que ni el emisor ni el receptor puedan negar la conducta realizada. Brindar servicio anti-repudio a través de firma digital .

  • Al enviar un mensaje, el receptor puede verificar que el mensaje fue efectivamente enviado por el remitente previsto, lo que se denomina fuente de no repudio.
  • Cuando el receptor recibe un mensaje, el remitente puede verificar que el mensaje se ha enviado efectivamente al receptor designado, lo que se denomina no repudio de sumidero.

(5) Disponibilidad

La disponibilidad se refiere a la capacidad de garantizar que los recursos de información puedan proporcionar servicios en cualquier momento, es decir, los usuarios autorizados pueden acceder a la información requerida de manera oportuna según sea necesario, y garantizar que a los usuarios legítimos no se les niegue ilegalmente el uso de los recursos de información.

2. PKI

2.1 Conceptos básicos

Infraestructura de clave pública (PKI, Infraestructura de clave pública) se basa en criptografía de clave pública y proporciona infraestructura para servicios de seguridad. El núcleo es resolver el problema de confianza en el espacio de la red de información y determinar identidades digitales confiables. Es ampliamente utilizado en comercio electrónico , e-gobierno y otros campos.

La tecnología PKI se basa en tecnología de clave pública, utiliza certificados digitales como medio, combina el cifrado simétrico y la tecnología de cifrado asimétrico, y vincula la información de identidad de personas, organizaciones y dispositivos con sus respectivas claves públicas. Las claves y los certificados establecen un entorno seguro y confiable. entorno operativo de red para los usuarios, de modo que los usuarios puedan utilizar fácilmente tecnologías de encriptación y firma digital en diversos entornos de aplicación para garantizar la confidencialidad, integridad, autenticidad y autenticidad de la negación de información transmitida .

2.2 Composición de PKI

Un sistema PKI típico incluye la entidad emisora ​​de certificados CA, el almacén de certificados, el sistema de copia de seguridad y recuperación de claves, el mecanismo de actualización de claves y revocación de certificados, el sistema de interfaz de la aplicación PKI y otras partes.

  • CA (Certificate Authority) : también conocida como la autoridad de certificación, es el componente central y el órgano ejecutivo de PKI. Emite un certificado digital para cada usuario que utiliza la clave pública, lo que demuestra que los usuarios que figuran en el certificado poseen legalmente el certificado. Claves públicas enumeradas . El centro de certificación también debe incluir una autoridad de registro de solicitud de certificados RA (Registration Authority), que es una autoridad de registro y aprobación de certificados digitales.

  • Repositorio de certificados (servicio de directorio) : se utiliza para publicar certificados de usuario y listas de revocación de certificados (CRL, Lista de revocación de certificados), a través de las cuales los usuarios pueden obtener certificados y claves públicas de otros usuarios.

  • Sistema de copia de seguridad y recuperación de claves : la copia de seguridad y la recuperación de claves son el contenido principal de la gestión de claves. Por algunas razones, el usuario perderá la clave para descifrar los datos, de modo que el texto cifrado cifrado no se puede desbloquear, lo que resulta en la pérdida de datos legales. Para evitar esta situación, PKI proporciona un mecanismo de copia de seguridad y recuperación de claves: cuando se genera el certificado de usuario, la CA realiza una copia de seguridad y almacena la clave de cifrado; cuando es necesario restaurarla, el usuario solo necesita solicitar la CA, y la CA se recuperará automáticamente para el usuario. Sin embargo, debe tenerse en cuenta que la copia de seguridad y la recuperación de la clave deben ser realizadas por una organización de confianza. Además, la copia de seguridad y la recuperación de la clave solo pueden ser para la clave de descifrado, y no se puede hacer una copia de seguridad de la clave privada de la firma para garantizar su singularidad.

  • Interfaz de aplicación (API) : proporcione varias aplicaciones con una forma segura, consistente y confiable de interactuar con PKI, lo que permite a los usuarios usar fácilmente los servicios de seguridad, como el cifrado y las firmas digitales, para cumplir con los requisitos de consulta de certificados e información de revocación de certificados relacionada. el procesamiento de rutas y las solicitudes de sellos de tiempo para documentos específicos aseguran que el entorno de red establecido sea seguro y confiable, y reduzcan los costos de administración.

3. Certificado digital

3.1 Conceptos básicos

Un certificado digital, también conocido como certificado de clave pública, es un documento firmado por el centro de certificación autorizado CA que contiene la clave pública y la información de identidad del titular de la clave pública para ayudar a los usuarios a obtener de forma segura la clave pública de la otra parte.

X.509 es un conjunto de estándares de certificados definidos por el departamento de estandarización de ITU-T, que se usa ampliamente en muchos protocolos de Internet, incluido TLS/SSL. El formato es el siguiente:
inserte la descripción de la imagen aquí
El contenido del certificado digital incluye:

  • Número de versión: distingue diferentes versiones de x.509.
  • Número de serie: La identificación digital única asignada a cada certificado por la CA.
  • ID de la autoridad de certificación: el nombre X.500 de la CA única de la autoridad que emitió el certificado.
  • ID del sujeto: El nombre del titular del certificado.
  • Información de la clave pública del sujeto: la clave pública correspondiente a la clave privada del sujeto.
  • Período de validez del certificado: El período de validez del certificado incluye el período de validez de inicio del certificado y el período de vencimiento del certificado.
  • Uso de clave/certificado: describe el uso legítimo del par de claves pública/privada del sujeto.
  • Firma de la autoridad de certificación: Una firma digital generada con la clave privada de la autoridad de certificación.
  • Extensión: Información adicional sobre el certificado.

3.2 Generación y verificación de certificados

inserte la descripción de la imagen aquí
(1) Generación de certificado

Durante el proceso de inscripción del certificado

  • La CA realiza un Hash sobre el archivo T que contiene información como la clave pública de la entidad solicitante del certificado y su identidad, y genera un valor hash H.
  • La CA cifra el valor hash H con su clave privada para generar una firma digital S.

La firma digital S y el archivo que contiene la clave pública de la entidad solicitante del certificado y su identidad forman el certificado digital de la entidad solicitante.

(2) Verificación del certificado

El verificador obtiene el certificado digital de la entidad: el archivo T que contiene información como la clave pública de la entidad solicitante del certificado y su identidad, y la firma digital S del valor hash del archivo T por parte de la CA.

  • El verificador descifra la firma digital S con la clave pública de la CA y obtiene el valor hash H.
  • Al mismo tiempo, el verificador usa el algoritmo Hash en el certificado para hacer hash del archivo T para obtener H'.
  • El verificador compara si H' es igual a H, y si es igual, significa que el certificado es creíble.

3.3 Cadena de certificados

En la aplicación de PKI, la confianza del usuario proviene de la verificación del certificado, y esta confianza se basa en la confianza de la CA de terceros de confianza que emite el certificado.

X.509 estipula que las CA se organizan en un árbol de información de directorio (DIT). La CA de más alto nivel se denomina CA raíz (Root-CA).La verificación de certificados entre usuarios requiere una cadena** (cadena de certificados)** generada por el certificado de la otra parte. A partir del certificado raíz, a través de capas de confianza (A confía en B, B confía en C, etc.), el titular del certificado de entidad final puede obtener la confianza de la transferencia para probar la identidad.
inserte la descripción de la imagen aquí
Tome el certificado de Baidu como ejemplo:
inserte la descripción de la imagen aquí
a través del diagrama de estructura de árbol, puede ver que baidu.comel certificado utilizado por este nombre de dominio es GlobalSign RSA OV SSL CA 2018emitido por , mientras que GlobalSign RSA OV SSL CA 2018el certificado emitido por GlobalSignla CA raíz (Root CA) es confiable y se puede instalar en el sistema operativo Encontrado en la lista de certificados raízGlobalSign

3.4 Gestión de certificados

(1) Inscripción del certificado
inserte la descripción de la imagen aquí
(2) Revocación del certificado

Un certificado se revoca cuando las condiciones (revisión de la información del certificado, etc.) requieren que el período de validez del certificado expire antes de la fecha de finalización del certificado, o requieren que el usuario se separe de la clave privada (la clave privada puede filtrarse en algunos casos). forma).
inserte la descripción de la imagen aquí

4. Servicio de marca de tiempo

Dado que la hora del escritorio del usuario es fácil de cambiar, la marca de tiempo generada por la hora no es confiable, por lo que se necesita un tercero de confianza para proporcionar un servicio de marca de tiempo confiable y no repudiable.

Time Stamp Authority (TSA, Time StampAuthority), que es una parte importante de PKI, como una autoridad de tiempo de terceros confiable, su función principal es proporcionar información de tiempo confiable para probar que un documento (o una parte de la información) Un tiempo (o antes) existe para evitar que los usuarios falsifiquen datos para actividades fraudulentas antes o después de este tiempo.

El servicio de sello de tiempo consiste en que el protocolo de sello de tiempo (TSP, TimeStamp Protocol) proporciona evidencia de que los datos existen en un momento específico a través del servicio TSA.

inserte la descripción de la imagen aquí
Flujo de trabajo de la TSA:

  • (1) El cliente calcula la huella digital del archivo seleccionado, normalmente haciendo un Hash.
  • (2) El cliente enviará el valor Hash del archivo a TSA, y TSA agregará el valor de tiempo actual a la huella digital, luego usará la clave privada para firmar digitalmente la información y generar una marca de tiempo (Time Stamp).
  • (3) TSA devuelve la marca de tiempo al cliente para su almacenamiento (el cliente debe verificar la validez de la marca de tiempo), de modo que la marca de tiempo se vincule al archivo como evidencia de que el archivo es válido dentro de un cierto período de tiempo.

Supongo que te gusta

Origin blog.csdn.net/apr15/article/details/128138120
Recomendado
Clasificación
Diario
Más
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)
2024-04-24(31)

Code World

© 2018 codetd.com