鍵管理センター(KMC)、された公開鍵インフラストラクチャは、重要な部分であり、分散型エンタープライズアプリケーションに対応するためにCA鍵の生成、ストレージ、バックアップ、更新、復元、クエリおよびその他の主要なサービスのためのシステムを提供する責任があります暗号化技術の大規模なアプリケーションは、鍵管理環境をもたらします。
鍵管理システムは、次の持つべき特性を:
(1)不正に鍵を盗むことが困難である。鍵を盗む条件下(2)は無用である;(3)鍵配布プロセスの交換等の透明
1.生存の鍵
(1)鍵生成 - >(2)分散キー - >(3)有効化キー/キーが駐車 - >(4)または鍵交換鍵を更新 - >(5)鍵失効 - >(6)キーを破棄
2.主要なストレージとバックアップ
ストレージ:通常のディスク・ストレージ、ハードウェアメモリ内のメディアキー:カードまたはUSBKEY;鍵暗号方式の鍵格納されている暗号化
バックアップ:キーエスクロー制度と秘密共有プロトコルは、バックアップの重要な問題を解決するために
3.撤退とキーの破壊
失効:
キーが侵害された場合、その後、長いキーは今回、大きな損失を使用することです;時間キーは、もはやそれが漏れたより多くのチャンスを使用するのであれば、キーは、一定の妥当性を持っている鍵の使用簡単に複数の暗号文解読法を暗号化するために、同じキーに、もはやそれは大きな可能性と実現可能性を攻撃しました。システムは、キー関連のセキュリティ問題、鍵が危殆化またはキーセキュリティレベルが十分に高い場合ではありません見つけるされたと思われる、キーが取り消されるべきであり、使用を中止して見つかった場合そのため、キーは、いくつかの時間のために使用されています
4.PKI(公開鍵Infrustructure)
PKIは、公開鍵インフラストラクチャとして知られている、すべてのネットワークアプリケーションのための暗号化とデジタル署名や他の暗号化サービスや、必要な鍵および証明書管理システムを提供し、キー管理プラットフォームであり、確立された規格に従っています。
PKIシステムは完全に持っている必要があり、権限認証局(CA) 、登録局(RA)は、デジタル証明書ストアPLDA、キーのバックアップおよびリカバリシステム(KMC) 、証明書の無効なシステム(CRL) 、アプリケーションインタフェース(RADS)およびその他の基本的なコンポーネントを建設PKIはまた、これらの5つのシステムを周りに構築するために開始されます。
PKIコンポーネント:
(1)CA証明機関(2)RA証明書の登録センター(3)鍵管理センタ(4)証明書記憶装置(5)証明書発行システム(6)証明書失効空隙(7)TSAのタイムスタンプ
デジタル証明書の基本的な概念:
(1)証明書の種類、形式(2)証明書;(3)認証局(CA)
①バージョン-バージョン識別証明書(V1 V2 V3)
証明書の一意の識別子- ②シリアル番号。
③署名-署名アルゴリズム識別子
④発行者-証明書発行者の識別名
⑤妥当性-証明書の有効期間
証明書の所有者の識別名- ⑥ボディ
⑦サブジェクト公開鍵情報-サブジェクトの公開鍵
⑧発行者固有の識別子- V2 V3発行者証明書の一意の識別子
⑨対象一意の識別子-証明書の所有者V2 V3の一意の識別子
⑩拡張-オプションの標準および独自の拡張V2 V3
6.ソフトウェアサポート:
(1)電子証明書の秘密鍵ファイルは、の形態で存在する:無償、秘密鍵は完全にコンピュータシステム自体のセキュリティに依存して、コピー防止することができません。
(2)ICカード/ USBキーベクトル:高いセキュリティを、プライベート証明書は一意性を保証; PINは秘密鍵メカニズムを保護し、CSP駆動の問題、コスト
のデジタル証明書の抽出問題は?
誰が公開鍵とその証明書を発行するの身元を結合するための責任がありますか?A:CA(証明書ビザ当局)。
どのように証明書を発行しますか?
A:まず、ユーザーが自分の生成の鍵ペアを、とする公開鍵といくつかの個人情報送信認証センターを。アイデンティティ認証センターを検証した後、ユーザーが送信要求が来ないことを確認するために必要な手順を実行します、そして、認定センターがユーザーにデジタル証明書を送信します、証明書は、彼の個人情報や内部にユーザーが含まれているパブリック情報一方、署名認証情報センターが伴います。ユーザーは、自分のデジタル証明書に関連する活動を使用することができます。独立した認証局によって発行されたデジタル証明書。デジタル証明書は、各証明書は、信頼性の異なるレベルを提供することができ、異なっています。あなたは、認証局から独自のデジタル証明書を取得することができます。
なぜ我々は、証明書発行者を信頼すべきか?
A:ユーザーのデジタル証明書は、ユーザーのデジタル証明書が有効で、信頼されたルート証明書を持っている必要があります。
証明書が有効であるかどうかを確認する方法は?
:CAの公開鍵と証明書の署名を検証し、一度検証し、証明書が有効であると考えられます。
証明書を無効にするには?
A:1、または加入者ユニットは、RAへの要求を取り下げる高く;.
2. RAは、失効要求をレビューします。
CAまたはCRLが発行機関に、RAの失効要求によって審査した後、3。
4. CAまたはCRL証明書発行機関は、その状況を修正し、新しいCRLを発行します。
誰が失効証明する責任がありますか?
A:CA認証局。
8.CA認証局:
(1)証明書(2)証明書の更新(3)証明書失効(4)は、証明書と証明書失効リスト(CRL)オンラインクエリ(5)証明書(6)証明書(7)政策の開発状況を公開します。
9.RA証明書の登録センター:
(1)対象:仕事のクマの部分に証明書を発行したCA:アイデンティティ監査
(2)は、CAを扱うウィンドウエンティティであります
(3)の機能の全部または一部をサポートしています。
(A)識別(b)は、初期ユーザ鍵生成/配信(パスワード/秘密及び/又は公開/秘密鍵共有)(c)およびCAインタフェース、証明書要求と証明書(D)を提出する鍵管理ダウンロードの発行/証明書管理(取消し、初期化;鍵回復)
10.証明書発行システム:
(1)目的-リポジトリを提供する:(デジタル証明書、証明書失効リスト(CRL))
(2)を達成 - 特別な目的のための典型的な:(データベース、LDAPディレクトリサービス)
11.鍵管理センターKMC:
(1)電子認証センターは、鍵管理とサービス機関に対応した鍵管理システム。コミュニケーションとプライバシーの機密性を確保するだけでなく、特定の通信プロセスへの条件アクセスの権限の下で、関連する国家機関を行い、暗号文を解読するだけでなく、(2)目的のキー管理センターでは、関連する国内法の安全を守るために実装。鍵管理センター自体は、情報を通信するために使用される暗号化キーを知らないが、それは、キーを復元するための手段を提供します。(3)重要な経営課題は、これらのキー管理サービスの実装と運用を確保するためです。
12.OCSPオンライン証明書ステータスの照会システム:
(1)OCSP(オンライン証明書状態プロトコル)オンライン証明書状態プロトコル。
(2)は、デジタル証明書の現在のステータス契約を決めることができる必要性の証明書失効リスト(CRL)を記述する
(3)証明書ストアディレクトリサーバーから証明書のクエリのための一般的な条件、お使いのマシンにダウンロードするLDAPプロトコル経由でCRLは、証明書によると、現在の状況を理解CRL。CRLそのものではなく、いくつかの欠点がある(例えば時間遅延としては、ファイルが大きすぎる、繰り返しのダウンロードなど)は、OCSPは、これらの欠点のためにある、1999年6月にあるIETFによって承認されたオンライン証明書状態プロトコルの打ち上げ、 RFC 2560。
13.TSAタイムスタンプ
(1)PKIは、必要のタイムスタンプサービス(3)RFC 2001は、TSAの使用について説明し、否認防止サービスを提供するために、機密性、完全性、およびデータ発信元認証、否認防止サービス(2)を提供することができます
14.PKI規格:
(1)証明書書X509v3 RFC3280
標準CSPインタフェース(2)ハードウェア、PKCS#11、SKF
(3)PKCSシリーズ
(4)LDAPディレクトリサービス
(5)SCEPシスコはネットワーク機器のライセンス契約を開発します
(6)2511 CMPの証明書管理プロトコルRFC2510
CMSベース(7)CMC証明書管理プロトコル
(8)CMP、CMC NetCertCAはサポートされていません
15.PKIアプリケーション
(1)S / MIMEプロトコル標準
(2)SSL TLSプロトコル
(3)IPSECプロトコル
(4)SET安全な電子トランザクションプロトコル
(5)XML / E-ビジネス
(6)ファイル保護
16.PKIアプリケーションプロトコル-SSL
(1)ソケットレイヤセキュアソケットレイヤーを固定します(NetscapeのSSL V2 / V3)とトランスポート層セキュリティトランスポート層セキュリティプロトコル(IETF TLS v1の)プロトコルは現在、インターネット上でされて使用される最も広く使われているセキュリティプロトコル
(2)MS IEと他の一般的なブラウザ建てSSLクライアント
(3)セキュリティアクセスメカニズムのTCP / IPプロトコルのクライアント/サーバモデルに基づいてアプリケーションを提供する、クライアント/サーバー認証、クライアント/サーバ間の暗号化データ伝送チャネルを、伝送、および整合性の間のデータのプライバシーを確保します。
17.質問トピック:
(1)、現代暗号の創設者である:クロード・シャノン(シャノン)。
2つのシステムを含んでいる(2)、暗号化暗号は、彼らが特性は何ですか?
A:対称暗号化と非対称暗号化。
対称暗号化システム:(1)暗号化キー=復号鍵は、(2)暗号化が高速で、簡単にハードウェアの実装とセキュリティキー(3)を保護する必要性の大規模生産は、署名と否認防止を使用することはできません
非対称暗号:暗号化鍵と復号鍵が別の鍵で復号することができる鍵暗号結果とキーペアを形成する、異なります。(1)使用異なる暗号化と復号鍵(2)キーを開示しているが、公開鍵(3)秘密の鍵は、前記秘密鍵
(3)DES鍵の長さは、マルチビットですか?
:DESアルゴリズムは、鍵長が64ビットであり、対称鍵システムです。
(4)は、対称鍵暗号に分割することができるブロック暗号システムと配列暗号(ストリームサイファ); DESに属するブロック暗号システムとRC4のに属するストリーム暗号システム
(5)SHA1アルゴリズムHASHアルゴリズムHASH長生成部160「ビットと、MD5の128ビットです。(バイト[]バイト= 1つのワード8 [ビット])
どのような数学の基礎(6)RSAアルゴリズムがありますか?
:カウントのみ分解が素因数分解の数、の順でない場合に1以上の任意の整数より大きいが、素数の積の形に分解することができ
(7)暗号化の主な目的:(1)データの機密性、(2)認証技術、整合性(3)情報技術;および(4)非否認
(8)、ボブはアリスにメッセージを送信し、アリスは望ん確認メッセージがボブによって送信されたことを確認してください、そして、ボブは、どのようなメッセージの暗号化キーを選ぶべきなのでしょうか?(デジタル署名タイプタイトル)
A:ボブの秘密鍵。
(9)、PKIは、(少なくとも3つ)から本質的になります
A:CA認証局、レジストリのRA証明書、鍵管理センタ、証明書のストレージ・システム、証明書発行システム;証明書失効のボイド; TSA。
違いは何LDAP認証による証明書ステータスの検証証明書のCRLおよびOCSPの道のために(10)?
A:CAのLDAPマスターサーバーは、そのためのデータコンテンツおよびマスターミラーサーバ一貫性のあるデータを定期的に更新され、ミラーサーバーの責任です。まず、アクセスするローカルユーザディレクトリサーバの応答時間、最大速度は、第二のように、また、負担のLDAPマスターサーバーを減らすために、ピーク時間を設定することにより、同時アクセス数が多いシャントできるミラーサーバーである:(ミラーサーバーを設定すると、2つの目的があります。種類のバックアップメカニズムの、ミラーサーバも、システム全体の可用性を向上させる中断のないサービスを提供するために、プライマリサーバに障害が発生した時のバックアップ役割を果たすことができます。)
ユーザーにリアルタイムのオンラインOCSP証明書のステータスを提供するために、結果は、それがCRLを扱うよりもはるかに高速で、かつ論理的な問題やオーバーヘッド処理の頭痛を避けます。目標と二つのメカニズムが同じであるためにLDAPおよびOCSPの機能が、メソッドを実装する方法の実現は同じではありません。
(11)OCSP(オンライン証明書ステータス Protoco、 オンライン証明書状態プロトコル)、LDAP(ライトディレクトリアクセスPortocol )、 証明書失効リスト(CRL)
OCSPは、二つの一般的なモードのセキュリティを維持するために、サーバや他のネットワーク資源の一つです。OCSP大きな欠点証明書失効リスト(CRL)を克服します。クライアントは常にリストの更新を確実にするためにダウンロードする必要があります。ユーザーがサーバーにアクセスしようとすると、オンライン証明書状態プロトコルは、証明書のステータス情報の要求を送信します。「有効」を使用したサーバの応答は、または「不明」の応答を「期限切れ」。議定書は、構文通信サーバーとクライアントアプリケーションを指定します。彼らは、サーバーの前に時間の期間内に更新に継続してアクセスできるようにユーザーの証明書へのオンライン証明書状態プロトコルは、猶予期間が満了します。CRLは、証明書の実際の状態を反映することはできません。OCSPは、証明書のステータスを照会オンラインリアルタイムの要件を満たすことができるようになります。これは、電子商取引サイトのためのデジタル証明書の有効性をテストするために、リアルタイムの方法を提供し、伝統的なダウンロードより速く、より便利で、より独立したCRLを処理します。通常、取り消さおよび未知:リクエスタは、OCSPサーバは、証明書は三つの状態かもしれ返し、クエリ要求を送信します。
(と呼ばれる証明書失効リスト、:CRL)証明書失効リストは、ファイルが取り消された認証局(CA)証明書及び失効日付のシリアル番号が含まれている、構造化データファイルのPKIシステムです。CRLファイルも失敗し、次の更新時間、および使用する署名アルゴリズムに証明機関情報、失効リストの時間が含まれています。証明書失効リストは、そのライセンスシステムを設定する際に、さまざまな認証局の設定に至るまで最低1時間、通常は1日、あるいは月、有効です。役割:使用中のブラウザでhttps://にアクセスするSSL証明書は、Webサイトを展開したときに、この証明書は、証明書を授与されている場合、我々はまず、失効リストやOCSPがサービスを照会することを、SSL証明書が失効しているかどうかを確認します代理店は、取り消された警告メッセージが表示されます:「...この組織の証明書は、セキュリティ証明書の問題は、あなたがこのWebページを閉じて、このサイトの閲覧を続行しないことをお勧めしますかインターセプトにサーバーに送信するすべてのデータを欺くしようとする試みを示している可能性があり取り消されました。」
LDAP(ライトディレクトリアクセスPortocol) X.500標準のライトウェイトディレクトリアクセスプロトコルに基づきます。ディレクトリは、クエリ、ブラウズし、同じファイルディレクトリに似たツリー構造、にデータを整理し、最適化するデータベースを検索します。カタログ・データベースとリレーショナルデータベースは、それが優れた読み取り性能を持っていますが、書き込み性能は貧弱であり、そのようなロールバック、頻繁に変更されたデータを格納するのに適していないとして、複雑なトランザクション処理機能は、ありません。だから、自然のディレクトリは、その名の場合と同様に、クエリに使用されています。LDAPディレクトリサービスは、セットからなるデータベースとディレクトリアクセスプロトコルのシステムです。LDAPは、オープンなインターネットである(インターネット)標準、インターネットプロトコルのためのクロスプラットフォームのサポートは、業界で広く認識され、市場に出ているか、オープンソースコミュニティへの製品のほとんどは、LDAPのサポートを追加した、など、これらのシステムのために、ではありません個別にカスタマイズすることが、あなただけのLDAPを経由して簡単な設定を行う必要があり、認証を行っているサーバーと対話することができます。「シンプルで粗」、大幅に開発およびドッキングの複製のコストを低減することができます。
