xmlns:w="urn:schemas-microsoft-com:office:word"
xmlns="http://www.w3.org/TR/REC-html40">
Pki ning ishlash prinsipi
PKI ning ishlash prinsipi
Ochiq kalitlar infratuzilmasi (PKI- Public Key Infrastructure) - bu odamlar va kompyuterlarga Internet orqali ma'lumotlarni xavfsiz tarzda bog'lash va boshqa tomonning identifikatorini tekshirish imkonini beruvchi ochiq shifrlash kalitlari to'plami. PKI Internet orqali uzatiladigan har qanday turdagi nozik ma'lumotlarni himoya qilish uchun ishlatiladi.
Tarixan axborot xavfsizligini boshqaruvchi har qanday markazning vazifalari doirasiga axborot xavfsizligining turli vositalari tomonidan ishlatiluvchi kalitlarni boshqarish kirgan. Bu-kalitlarni berish, yangilash, bekor qilish va tarqatishdir.
Simmetrik kriptografiyadan foydalanilganda kalitlarni tarqatish masalasi eng murakkab muammoga aylangan, chunki:
- N foydalanuvchi uchun himoyalangan N(N-1)/2 kalitni tarqatish lozim edi. N bir necha yuzga teng bopligi va tarqatish kanalining maxfiyligi) xavfsizlik tizimini qurish qoidalarining biri- tizim oddiyligiga tori kelmaydi, natijada zaif joylarning paydo botishga imkon yaratadi. Bunda har bir foydalanuvchida faqat bitta maxfiy kalit va maxsus algoritm boladi.
Ochiq kalitdan mahfiy kalitni olib bozaro aloqa qatnashchilariga tarqatish mumkin. Ozaro aloqadagi sherigining ochiq kaliti yordamida har qanday foydalanuvchi har qanday kriptoamallarni bajarishi mumkin: bopligi ularni ochiq tarqatish mumkin.
Ammo bu texnologiyaning bitta kamchiligi zaro aloqa qatnashchilari ortadagi odam) xujumsiga moyilligi.
Ochiq kalitlarni boshqarish infrastrukturasi PKI ushbu kamchilikni bartaraf qilishga imkon beradi va man-in-the-middle xujumsidan samarali himoyalanishni talovchi elektron pasportga oiy autentifikatsiyalash prinsipiga va ochiq kalitli kriptotizim xususiyatlariga asoslanadi.
Ochiq kalit sertikati deganda malimi va imzo bolumotlar strukturasi tushuniladi. Malimida ochiq kalit xususidagi va kalit egasini identifikatsiyalovchi maladi. Imzo bolumotlar boladi. Sertifikatsiya markazi CA sertifikatlardagi ochiq kalitlarni autentifikatsiyalashni tazining juft (ochiq-maxfiy) kalitiga ega bokidlash lozimki, sertifkatsiya markazining ochiq kalitini xavfsiz uzatish nafaqat sertifkatsiya markaziga shaxsan murojaat asosida, balki bu ochiq kalitni kerakli vakolatga ega bolumotlarning malumotlarning bu naboriga quyidagilar kiradi:
- ochiq kalitning taz ichiga oladi;
- kalitning nomeri va seriyasi;
- foydalanuvchining noyob ismi;
- foydalanuvchining ochiq kaliti xususidagi axborot: ushbu kalit atalgan algoritmning identifikatori va ochiq kalitning ozgartiraolmaydi (sertifikatlarni soxtalashtirish mumkin emas).
Sertifkatlarni soxtalashtirish mumkin emasligi, ularni umumfoydalanuvchi madiradi.
Ochiq kalit sertifkatini yaratish juft kalitni (ochiq-maxfiy) yaratishdan boshlanadi. Kalitni generatsiyalash muolajasi quyidagi ikkita usul orqali amalga oshirilishi mumkin:
- sertifikatsiya markazi kalitlar juftini yaratadi. Ochiq kalit sertifkatga kiritiladi, uning jufti-maxfiy kalit esa foydalanuvchiga uzatiladi (foydalanuvchini autentifi-katsiyalashni va kalit uzatilishining konfidensialligini tazi yaratadi. Maxfiy kalit foydalanuvchida saqlanadi, ochiq kalit esa himoyalangan kanal orqali sertifkatsiya markaziga yuboriladi.
Har bir foydalanuvchi sertifkatsiya markazi tomonidan shakllantirilgan bitta yoki bir nechta kalitlarning egasi bolishi mumkin.
Amalda boshqa sertifikatsiya markazidan sertifkat oladigan foydalanuvchilarni autentifikatsiyalash ehtiyoji tugzaro axborot almashishda xavfsizlikni talgan dasturiy-apparat vositalari hamda tashkiliy-texnik tadbirlar kompleksi.
Ochiq kalitlarni boshqarish infrastrukturasi PKI man-in-the-middle xujumlaridan ishonchli himoyalashni amalga oshirishga imkon beruvchi notariuslar tarmogli bilan himoyalashga imkon beradi.
Bu tizimning samarali ishlashi quyidagilarga bogzaro aloqa ishtirokchilari sertifikatsiya markazi ochiq sertifikatining haqiqiy nusxasiga ega bozaro aloqa ishtrokchilari ishlatadigan axborotni himoyalash vositalari ozida olishligi mumkin. Bu holda SA notariuslarining taqsimlangan qatlamlari yaratiladi.
Sertifikatsiyalashning uchta bazaviy modeli farqlanadi:
- sertifikatlarning ierarxik (shajara) zanjiriga asoslangan sertifikatsiyalashning ierarxik modeli;
- kross-sertifikatsiyalash modeli (ozda tutadi);
- sertifikatsiyalashning tarmoq (gibrid) modeli (ierarxik va oz ichiga oladi);
Ierarxik modelda SA lar boshqa SA larga sertifikatlar beruvchi ildiz sertifikatsiya markaziga ierarxik tobelikda joylashgan.
http://fayllar.org