Безопасность в Internet- Intranet



         

Сертификаты


Как следует из сказанного выше, в технологии Fortezza должен существоватьпротокол, регламентирующий выдачу и распространение открытых ключей пользователей.Открытые ключи ассоциируются с их владельцами с помощью так называемых"сертификатов". Сертификат представляет собой структуру данных,связывающую идентификатор пользователя, открытые ключи, предназначенныедля алгоритмов KEA и DSA, а также информацию о лице, выдавшем сертификат.С целю защиты от подделки сертификат защищается цифровой подписью выдавшегосертификат лица. Сертификаты и пары секретных/открытых ключей образуютоснову системы управления ключами технологии Fortezza.

В качестве основы системы аутентификации Fortezza использует схему аутентификациисертификатов X.509 и соглашения о наименовании объектов X.500. ТехнологияFortezza различает две структуры сертификатов. Под "сертификатом Fortezza"понимается внутренняя структура данных технологии Fortezza, под "сертификатомX.509" - блок данных стандарта X.509, содержащийся в сертификате Fortezza(см. Рис.5.).

2820 байт

метка

флажкиразмер

DSA

KEA

DSA

DSA

DSADSADSA

KEAKEAKEA

KEAKEA

сертификат

 данных

Private (X)

Private (X)размер PG

размер Q

P

Q

Gразмер PG

размер Q

P

Q

G

X.509

32

164

4848

4

4

128

48

1284

4

128

48

128

2048 байт

Рис. 5.

Каждый сертификат Fortezza состоит из двух пар открытых/секретных ключей(одна из них предназначена для использования в KEA, другая - в DSA) и соответствующихим значений параметров P, Q и G. Сертификат X.509 содержит открытые составляющиеэтих ключей. Открытые ключи всегда доступны пользователю карты. Ключи хранятсяв закодированном виде: секретные - с помощью локальных ключей пользователяKs (ключ Ks имеет размер 80 бит, находится в специальном регистре криптокартыи становится доступным после успешного ввода PIN пользователя), открытые- с помощью ASN.1. Поле данных размером 2048 байт, зарезервированное длясертификата X.509, может использоваться для хранения любой информации (биометрическихданных, фотоизображений), если только такие "сертификаты" неиспользуются в криптографических функциях. Приложения могут загружать этиданные в энергонезависимую память карты и сохранять их там продолжительноевремя.

Сертификаты X.509 могут быть размещены в базу данных специализированного"сертификационного сервера" (нескольких серверов) или распределеныпо сети и сохранены локально в картах всех участников информационного обмена.Единственным условием является доступность сертификата для криптографическихфункций приложений Fortezza. Некоторые приложения позволяют включать сертификатотправителя в заголовок сообщения, предоставляя получателю возможностьдинамически создавать локальную базу сертификатов абонентов. Такая локальнаябаза может служить своего рода "кэшем" сертификатов, что делаетвозможным посылку сообщений без обращения к серверу сертификатов. Однако,долгое использование локальной базы может привести к устареванию содержащихсяв ней сертификатов.

Таблица 1 содержит описание всех криптографических функций.

Криптографическая функция

Название

Размер параметров

СтандартОбмен открытыми ключами

KEA

секретный ключ 160 бит

модифицированный Diffie-Helman Шифрование сообщений

SKIPJACK

ключ 80 бит

NSA / FIPS 185Цифровая подпись

DSA

модуль 1024 бит

NIST FIPS 186Хэширование

SHA-1

160 бит

NIST FIPS 180-1Временные метки

нет

160 бит

FortezzaПароль пользователя

PIN

4-12 байт

FortezzaСертификат

нет

2820 байт

используется CCITT X.509

Таблица 1. Криптографические функции Fortezza.




Содержание  Назад  Вперед