MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNVERSITETI
SAMARQAND FILIALI
TELEKOMMUNIKATSIYA TEXNOLOGIYALARI VA KASB TA’LIMI FAKULTETI
“VIRTUAL TARMOQ TEXNOLOGIYALARI”
Fanidan
Mustaqil ish
Mavzu: PKIX ochiq kalitlar infratuzilmasi modeli
Bajardi: Qoraqulov U
Fan o‘qituvchisi: Bolbekov M
SAMARQAND _ 2023
PKIX ochiq kalitlar infratuzilmasi modeli
A ochiq kalitli infratuzilma (PKI) bu yaratish, boshqarish, tarqatish, ishlatish, saqlash va bekor qilish uchun zarur bo'lgan rollar, siyosat, apparat, dasturiy ta'minot va protseduralar to'plamidir. raqamli sertifikatlar va boshqarish ochiq kalitli shifrlash. PKI ning maqsadi - elektron tijorat, internet-bank va maxfiy elektron pochta kabi bir qator tarmoq faoliyati uchun ma'lumotlarning xavfsiz elektron uzatilishini ta'minlash. Bu oddiy parollar etarli bo'lmagan autentifikatsiya qilish usuli bo'lgan va aloqada bo'lgan tomonlarning shaxsini tasdiqlash va uzatilayotgan ma'lumotni tasdiqlash uchun yanada qat'iyroq isbot talab qiladigan faoliyat uchun talab qilinadi.
Yilda kriptografiya, PKI - bu kelishuv bog'laydi ochiq kalitlar sub'ektlarning tegishli identifikatorlari bilan (odamlar va tashkilotlar kabi). Majburiylik ro'yxatdan o'tish va sertifikatlarni berish jarayoni orqali o'rnatiladi sertifikat markazi (CA). Majburiyatning ishonchlilik darajasiga qarab, bu avtomatlashtirilgan jarayon yoki inson nazorati ostida amalga oshirilishi mumkin.
Haqiqiy va to'g'ri ro'yxatdan o'tishni ta'minlash uchun CA tomonidan topshirilishi mumkin bo'lgan PKI roli a deb nomlanadi ro'yxatga olish organi (RA). Asosan, RA raqamli sertifikatlar uchun so'rovlarni qabul qilish va so'rov o'tkazayotgan tashkilotning autentifikatsiyasi uchun javobgardir.[1] Internet muhandislik bo'yicha maxsus guruh RFC 3647 RAni "Quyidagi funktsiyalardan biri yoki bir nechtasi uchun mas'ul bo'lgan tashkilot: sertifikat talab qiluvchilarni identifikatsiyalash va tasdiqlash, sertifikat talablarini tasdiqlash yoki rad etish, sertifikatlarni bekor qilish yoki to'xtatib qo'yishni boshlash, ba'zi holatlarda abonentlarning so'rovlarini bekor qilish yoki ularning sertifikatlarini to'xtatib turish va obunachilarning sertifikatlarini yangilash yoki qayta ochish bo'yicha so'rovlarini ma'qullash yoki rad etish. RAlar sertifikatlarni imzolamaydilar yoki bermaydilar (ya'ni CAga CA tomonidan ma'lum vazifalar topshiriladi). "[2] Microsoft bo'ysunuvchi CAni RA deb atagan bo'lishi mumkin bo'lsa-da,[3] bu X.509 PKI standartlariga muvofiq noto'g'ri. RA'lar CA-ning imzolash vakolatiga ega emaslar va faqat sertifikatlarni tekshirish va taqdim qilishni boshqaradilar. Shunday qilib, Microsoft PKI misolida, RA funktsiyasi Microsoft Sertifikat xizmatlari veb-saytida yoki Microsoft Enterprise CA-ni va sertifikat siyosatini sertifikat shablonlari orqali amalga oshiradigan va sertifikatlarni ro'yxatdan o'tkazishni boshqaradigan (qo'lda yoki avtomatik ro'yxatdan o'tkazadigan) Active Directory sertifikat xizmatlari orqali ta'minlanadi. Microsoft Standalone CA-larda RA funktsiyasi mavjud emas, chunki CA-ni boshqaradigan barcha protseduralar ma'muriyat va kirish protseduralariga asoslangan bo'lib, ular Active Directory-ga emas, balki CA-ga joylashtirilgan tizim bilan bog'liq. Microsoft bo'lmagan tijorat PKI echimlarining aksariyati mustaqil RA komponentini taklif qiladi.
Tashkilot har bir CA domenida ushbu korxona to'g'risidagi ma'lumotlar asosida noyob tarzda aniqlanishi kerak. Uchinchi tomon tasdiqlash vakolati (VA) ushbu tashkilot ma'lumotlarini CA nomidan taqdim etishi mumkin.Entsiklopediya site:uz.wikihre.ru
Dizayn
Ochiq kalit kriptografiyasi a kriptografik sub'ektlarga imkon beradigan texnika ishonchli muloqot qilish xavfsiz bo'lmagan jamoat tarmog'ida va orqali shaxsning shaxsini ishonchli tekshirish elektron raqamli imzolar.[5]
Ochiq kalit infratuzilmasi (PKI) bu yaratish, saqlash va tarqatish tizimidir raqamli sertifikatlar ular ma'lum bir ochiq kalitning ma'lum bir tashkilotga tegishli ekanligini tekshirish uchun ishlatiladi. PKI raqamli sertifikatlarni yaratadi, ular ochiq kalitlarni xaritalar bilan xaritalashtiradi, ushbu sertifikatlarni markaziy omborda xavfsiz saqlaydi va agar kerak bo'lsa ularni bekor qiladi.[6][7][8]
PKI quyidagilardan iborat:[7][9][10]
A sertifikat markazi (CA) raqamli sertifikatlarni saqlaydigan, chiqaradigan va imzolaydigan;
A ro'yxatga olish organi Raqamli sertifikatlarini CA-da saqlashni talab qiladigan shaxslarning shaxsini tasdiqlaydigan (RA);
A markaziy katalog- ya'ni, kalitlar saqlanadigan va indekslangan xavfsiz joy;
A sertifikatlarni boshqarish tizimi saqlanadigan sertifikatlarga kirish yoki beriladigan sertifikatlarni etkazib berish kabi narsalarni boshqarish;
A sertifikat siyosati uning protseduralariga tegishli PKI talablarini bayon qilish. Uning maqsadi - begonalarga PKIning ishonchliligini tahlil qilishga imkon berishdir.Entsiklopediya site:uz.wikihre.ru
Sertifikat idoralari
CA ning asosiy roli quyidagilardan iborat raqamli imzo va nashr eting ochiq kalit ma'lum bir foydalanuvchiga bog'langan. Bu CA-ning o'z shaxsiy kalitidan foydalangan holda amalga oshiriladi, shuning uchun foydalanuvchi kalitiga bo'lgan ishonch CA kalitining haqiqiyligiga ishonishiga bog'liqdir. Qachon CA foydalanuvchidan va tizimdan ajralib turuvchi uchinchi shaxs bo'lsa, u CA-dan alohida bo'lishi yoki bo'lmasligi mumkin bo'lgan Ro'yxatdan o'tish idorasi (RA) deb nomlanadi.[11] Klaviaturadan foydalanuvchiga bog'lash, dasturiy ta'minot yoki inson nazorati ostida bog'lanishning ishonchlilik darajasiga qarab o'rnatiladi.
Atama ishonchli uchinchi tomon (TTP) uchun ham ishlatilishi mumkin sertifikat markazi (CA). Bundan tashqari, PKI ko'pincha CA dasturining sinonimi sifatida ishlatiladi.Entsiklopediya site:uz.wikihre.ru
Oddiy ochiq kalit infratuzilmasi
Ochiq kalit ma'lumotlarning ommaviy autentifikatsiyasi bilan shug'ullanmaydigan yana bir alternativa bu oddiy ochiq kalit infratuzilmasi (SPKI) ning murakkabliklarini engish uchun uchta mustaqil harakatidan kelib chiqqan X.509 va PGP veb-sayt. SPKI foydalanuvchilarni shaxslar bilan bog'lamaydi, chunki kalit insonga emas, balki unga ishonadigan narsadir. SPKI hech qanday ishonch tushunchasidan foydalanmaydi, chunki tekshiruvchi ham emitent hisoblanadi. Bunga SPKI terminologiyasida "avtorizatsiya tsikli" deyiladi, bu erda avtorizatsiya uning dizayni bilan ajralmas hisoblanadi.[iqtibos kerak ] Ushbu turdagi PKI sertifikat avtorizatsiyasi, sertifikat ma'lumotlari va hk. Uchinchi shaxslarga ishonmaydigan PKI integratsiyasini amalga oshirish uchun juda foydali; Bunga yaxshi misol Havo bo'shliqlari ofisdagi tarmoq.
Markazlashtirilmagan PKI
Markazlashtirilmagan identifikatorlar (DID) identifikatorlar uchun markazlashtirilgan registrlarga va kalitlarni boshqarish bo'yicha markazlashtirilgan sertifikat idoralariga bog'liqlikni yo'q qiladi, bu ierarxik PKIda standart hisoblanadi. DID ro'yxatga olish kitobi bo'lgan hollarda tarqatilgan daftar, har bir tashkilot o'zining asosiy vakolati sifatida xizmat qilishi mumkin. Ushbu arxitektura markazlashtirilmagan PKI (DPKI) deb nomlanadi.[19][20]
Blockchain-ga asoslangan PKI
PKI uchun paydo bo'lgan yondashuv bu blok zanjiri odatda zamonaviy bilan bog'liq bo'lgan texnologiya kripto valyutasi.[21][22] Blockchain texnologiyasi tarqatilgan va o'zgarmas kitobni taqdim etishni maqsad qilganligi sababli, ochiq kalitlarni saqlash va boshqarish uchun juda mos bo'lgan fazilatlarga ega. Ba'zi kripto-valyutalar har xil ochiq kalit turlarini saqlashni qo'llab-quvvatlaydi (SSH, GPG, RFC 2230 va boshqalar) va PKI-ni to'g'ridan-to'g'ri qo'llab-quvvatlaydigan ochiq kodli dasturiy ta'minotni taqdim etadi OpenSSH serverlar.[iqtibos kerak ] Blockchain texnologiyasi taxminiy qiymatga ega bo'lishi mumkin ishning isboti ko'pincha partiyalarning PKIga bo'lgan ishonchiga asoslanib, siyosatga ma'muriy muvofiqlik, operatsion xavfsizlik va dasturiy ta'minotni amalga oshirish sifati kabi muammolar qolmoqda. Sertifikat idorasi paradigmasi ushbu kriptografik usullar va ishlatilgan algoritmlardan qat'i nazar, ushbu muammolarga duch keladi va ishonchli xususiyatlarga ega sertifikatlar berishga intilgan PKI ham ushbu muammolarni hal qilishi kerak.[iqtibos kerak ]
Blok-zanjirga asoslangan ma'lum bo'lgan PKI ro'yxati:
CertCoin[23]
FlyClient[24]
BlockQuick[25]Entsiklopediya site:uz.wikihre.ru
Tarix
PKIdagi o'zgarishlar 1970 yillarning boshlarida Britaniya razvedka agentligida sodir bo'lgan GCHQ, qayerda Jeyms Ellis, Clifford Cocks va boshqalar shifrlash algoritmlari va kalitlarni taqsimlash bilan bog'liq muhim kashfiyotlar qildilar.[26] GCHQ-dagi o'zgarishlar yuqori darajada maxfiylashtirilganligi sababli, ushbu ish natijalari sir saqlangan va 1990-yillarning o'rtalariga qadar ommaviy ravishda tan olinmagan.
Ikkala tomonning ham oshkor qilinishi kalitlarni almashtirish va assimetrik kalit algoritmlari 1976 yilda Diffie, Hellman, Rivest, Shomir va Adleman xavfsiz aloqalarni butunlay o'zgartirdi. Yuqori tezlikdagi raqamli elektron aloqalarni yanada rivojlantirish bilan ( Internet va uning o'tmishdoshlari), foydalanuvchilarning bir-biri bilan xavfsiz tarzda aloqa qilish usullariga va buning natijasi sifatida foydalanuvchilarning kim bilan aslida o'zaro aloqada ekanligiga ishonch hosil qilishlariga ehtiyoj paydo bo'ldi.
Turli xil kriptografik protokollar ixtiro qilindi va ularning ichida yangi bo'lgan tahlil qilindi kriptografik ibtidoiylar samarali foydalanish mumkin edi. Ixtirosi bilan Butunjahon tarmog'i va uning tez tarqalishi, autentifikatsiya va xavfsiz aloqaga bo'lgan ehtiyoj yanada keskinlashdi. Faqat tijorat sabablari (masalan, elektron tijorat, dan ma'lumotlar bazalariga onlayn kirish veb-brauzerlar ) etarli edi. Taher Elgamal va boshqalar Netscape ishlab chiqilgan SSL protokol ('https Internetda URL manzillari ); unga kalitlarni yaratish, serverni autentifikatsiya qilish (v3 dan oldin, faqat bitta tomonlama) va boshqalar kiradi. Shunday qilib xavfsiz aloqani istagan veb-foydalanuvchilar / saytlar uchun PKI tuzilmasi yaratildi.
Sotuvchilar va tadbirkorlar katta bozorning mavjudligini ko'rib, kompaniyalarni (yoki mavjud bo'lgan kompaniyalarda yangi loyihalarni) boshladilar va qonuniy tan olish va javobgarlikdan himoya qilish uchun tashviqot qilishni boshladilar. An Amerika advokatlar assotsiatsiyasi texnologiya loyihasi PKI operatsiyalarining ba'zi taxmin qilinadigan huquqiy jihatlarining keng tahlilini e'lon qildi (qarang. qarang) ABA raqamli imzo bo'yicha ko'rsatmalar ) va bundan ko'p o'tmay AQShning bir nechta shtatlari (Yuta 1995 yilda birinchilardan bo'lib) va boshqa yurisdiktsiyalar butun dunyo bo'ylab qonunlar qabul qilishni va qoidalarni qabul qilishni boshladilar. Iste'molchilar guruhlari o'zlarini qiziqtirgan savollarni ko'tarishdi maxfiylik, kirish huquqi va javobgarlik masalalari, bu ba'zi yurisdiktsiyalarda boshqalarga qaraganda ko'proq e'tiborga olingan.
Qabul qilingan qonunlar va qoidalar bir-biridan farq qilar edi, PKI sxemalarini muvaffaqiyatli tijorat operatsiyasiga aylantirishda texnik va ekspluatatsion muammolar mavjud edi va taraqqiyot kashshoflar tasavvur qilganidan ancha sekinlashdi.
21-asrning dastlabki bir necha yillarida asosiy kriptografik muhandislikni to'g'ri joylashtirish oson emas edi. Operatsion protseduralarni (qo'lda yoki avtomatik ravishda) to'g'ri loyihalashtirish oson emas edi (va hatto u ishlab chiqilgan bo'lsa ham, muhandislik talab qiladigan mukammal bajarish). Mavjud standartlar etarli emas edi.
PKI sotuvchilari bozorni topdilar, ammo bu 1990-yillarning o'rtalarida taxmin qilingan bozor emas va u taxmin qilinganidan ham sekinroq va biroz farqli ravishda o'sdi.[27] PKIlar kutilgan ba'zi muammolarni hal qilmadilar va bir nechta yirik sotuvchilar ishdan chiqib ketishdi yoki boshqalar tomonidan sotib olingan. PKI hukumatni amalga oshirishda eng ko'p muvaffaqiyatga erishdi; hozirgi kunga qadar eng katta PKI dasturidir Mudofaa Axborot tizimlari agentligi (DISA) uchun PKI infratuzilmasi Umumiy kirish kartalari dastur.
Dostları ilə paylaş: |