Рабочие листы
к вашим урокам
Скачать
1 слайд
Практика использования электронной цифровой подписи.Основные принципы обеспечения информационной безопасности с использованием инфраструктуры открытых ключей. Архитектура удостоверяющего центра на базе Крипто-Про CSP. Использование ЭЦП для организации защищенного электронного документооборота.
Курепкин И.А., Южанин Н.С.,
Ротков Л.Ю., Соганов С.В
2 слайд
Цели криптографической защиты
Аутентификация пользователей
Авторизация доступа к ресурсам
Конфиденциальность информации
Целостность информации
Невозможность отказа от совершенных действий
3 слайд
с одноразовым или бесконечным ключом (infinite-key cipher)
Классификация алгоритмов шифрования
Симметричные
(с секретным, единым ключом, одноключевые, single-key).
с конечным ключом (система Вернама – Vernam)
Потоковые
на основе генератора псевдослучайных чисел (ПСЧ)
Блочные
Шифры перестановки (permutation, P-блоки)
Шифры замены (подстановки, substitution, S-блоки)
составные (ГОСТ 28147-89, DES, IDEA, RC5, B-Crypt и др.)
Асимметричные
(с открытым ключом, public-key)
Диффи-Хеллман DH (Diffie, Hellman)
Райвест-Шамир-Адлeман RSA (Rivest, Shamir, Adleman)
Эль-Гамаль ElGamal
4 слайд
S
Процедура создания ЭЦП сообщения
ЭЦП
«дайджест» документа (хэш-функция), однозначно идентифицирует содержимое документа
автор документа шифрует дайджест своим персональным закрытым ключом - Z
5 слайд
Сертификат открытого ключа
RFC 2459, X.509
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
TBSCertificate ::= SEQUENCE {
version [0] EXPLICIT Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgorithmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
-- If present, version shall be v2 or v3
extensions [3] EXPLICIT Extensions OPTIONAL
-- If present, version shall be v3
}
Сертификат представляет собой документ, подтверждающий принадлежность открытого ключа и дополнительных атрибутов владельцу сертификата, выданный и заверенный Удостоверяющим Центром.
Версия: 3
Имя Пользователя: C=RU, org=ACME, cn=UserName
Имя Издателя: C=RU, org=ACME, cn=CA
Номер Сертификата: #12345678
Алгоритм ЭЦП: GOST R 34.11-94/ R 34.10-94 (1.2.643.2.2.4)
Открытый ключ пользователя
Алгоритм ключа: GOST R 34.10-94 (1.2.643.2.2.20)
Значение ключа: 010011101001001010010101
Сертификат действует с: 01.01.2001 00:00:00
Сертификат действует до: 31.12.2006 23:59.59
Дополнительная информация (X.509 v3 Extensions)
Регламент использования сертификата: Корпорация ACME
Секретный ключ действует с: 31.12.1999 23:59.59
Секретный ключ действует до: 31.12.2000 23:59.59
Область применения ключа: Защита почты (1.3.6.1.5.5.7.3.4)
Область применения ключа: Аутентификация клиента (1.3.6.1.5.5.7.3.2)
Атрибуты пользователя: IP, DNS, URI, RFC822, Адрес,...
. . .
Подпись Центра Сертификации:
Алгоритм: GOST R 34.11-94/ R 34.10-94 (1.2.643.2.2.4)
Значение: 010011101001001010010101
6 слайд
Инфраструктура PKI
Позволяет реализовать:
Защищенная электронная почта:
Проверка подлинности ЭЦП с помощью открытого ключа отправителя заверенного сертификатом УЦ
Проверка целостности ЭлД с помощью открытого ключа отправителя заверенного сертификатом УЦ
Шифрование ЭлД открытым ключом получателя заверенным сертификатом УЦ
Защита соединений в Интернете:
Проверка подлинности сервера по сертификату заверенному доверенным УЦ
Проверка подлинности клиента по сертификату заверенному доверенным УЦ
Выработка общего секретного ключа сессии с помощью открытых ключей сервера и клиента заверенных сертификатом доверенного УЦ
Контроль ПО (Authenticode)
Проверка подлинности ПО с по мощью открытого ключа фирмы-производителя заверенного сертификатом УЦ
Проверка целостности ПО с по мощью открытого ключа фирмы-производителя заверенного сертификатом УЦ
7 слайд
Проверка сертификата
Root CA
Sub CA 2
Sub CA 3
User
Сертификат разрешено использовать в данном режиме.
Тип сертификата
Сертификат действителен в данный момент.
Срок действия
Цифровая подпись CA, выдавшего сертификат, верна.
Целостность
Сертификат не был отозван.
Легитимность
Сертификат корневого CA присутствует в хранилище Trusted Root Certification Authorities.
Доверие
Списки CTL не запрещают использование сертификата для данной задачи.
Запреты
8 слайд
Службы
Структура удостоверяющего центра
Центр
Сертификации
Центр
Регистрации
Абоненты
Служба
резервного
копирования
Служба
администрирования
ЦС и ЦР
Служба
бесперебойного
питания
Обслуживающий
персонал и прочие
службы
9 слайд
Службы сертификации Microsoft
Центр сертификации (Certification Authority)
Выдача сертификатов клиентам
Генерация ключей, если нужно
Отзыв сертификатов
Публикация списка отзыва сертификатов (Certificate Revocation List)
Хранение истории всех выданных сертификатов
Web-сервис (Web Enrollment Support)
Запрос и получение сертификата через Web-интерфейс
Отсутствие реализации отечественных криптоалгоритмов
Отсутствие аутентификации пользователя при доступе к центру сертификации
Трудности масштабируемости
10 слайд
СКЗИ CryptoPro CSP
Позволяет использовать стандартные приложения фирмы Microsoft с надежной российской криптографией
Позволяет создавать новые, надежно защищенные приложения с использованием инструментария разработки фирмы Microsoft
Microsoft Certification Authority
Microsoft Outlook
Microsoft Outlook Express
Microsoft Authenticode
TLS/SSL для Internet Explorer
CryptoAPI 2.0
CAPICOM 1.0
11 слайд
Архитектура криптографических функций Windows
COM интерфейсы
Certificate Services
CAPICOM 1.0
Certificate Enrollment Control
Smart Card Enrollment Control
Интерфейс CryptoAPI 2.0
Приложения
Certification Authority
Outlook Express
Outlook
Authenticode
Internet Explorer
IIS
12 слайд
Цели интерфейса CryptoAPI
Изолирование прикладного уровня от криптографических функций позволяет одновременно использовать разные алгоритмы и различные реализации этих алгоритмов, включая аппаратные.
Единый интерфейс доступа к криптографическим функциям генерации ключей, формирования/проверки электронной цифровой подписи, шифрования/расшифрования данных.
Не требуется детального изучения особенностей реализации того или иного алгоритма или изменения кода в зависимости от алгоритма.
13 слайд
Сертификат
Х.509
CRL Х.509
Запрос на
сертификат
PKCS#10
Криптографические
сообщения PKCS#7
Интерфейс CryptoAPI 2.0
Низкоуровневые функции
обработки криптографических
сообщений
Low Level Message Functions
Базовые функции Base Cryptography Functions
Функции кодирования
декодирования
CryptEncodeObject
CryptDecodeObject
Функции работы со
справочниками сертификатов
Certificate Store
Высокоуровневые функции
обработки криптографических
сообщений
Simplified Message Functions
Cryptographic Service Providers
14 слайд
Cryptographic Service Providers
Crypto-Pro Cryptographic Service Provider
Cryptographic Service Providers
Gemplus GemSAFE Card CSP v1.0
Microsoft Base DSS and Diffie-Hellman Cryptographic Provider
Microsoft Base DSS Cryptographic Provider
Microsoft Strong Cryptographic Provider
Microsoft Enhanced Cryptographic Provider v1.0
Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider
Microsoft Base Cryptographic Provider v1.0
Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
15 слайд
КриптоПро CSP
Операционные системы:
Windows 95, Windows 95 OSR2, Windows 98, Windows 98 SE, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Whistler (beta 2).
КриптоПро CSP реализует российские криптографические алгоритмы и разработано в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).
Сертификаты ФАПСИ:
СФ/114-0441 от 11 марта 2001 г.
СФ/124-0460 от 20 апреля 2001 г.
16 слайд
Основные функции
Генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования;
Возможность генерации ключей с различными параметрами в соответствии с ГОСТ Р 34.10-94 ("Информационная технология. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма.");
Хэширование данных в соответствии с ГОСТ Р 34.11-94 ("Информационная технология. Криптографическая защита информации. Функция хэширования.");·
Формирование электронной цифровой подписи в соответствии с
ГОСТ Р 34.10-94 (ГОСТ Р 34.10-01);
Шифрование данных во всех режимах, определенных ГОСТ 28147-89 ("Системы обработки информации. Защита криптографическая.");
Имитозащита данных в соответствии с ГОСТ 28147-89;
Использование пароля (пин-кода) для дополнительной защиты ключевой информации.
17 слайд
Ключевые носители
дискета 3,5";
российские интеллектуальные карты (РИК) и процессорные карты MPCOS-EMV;
таблетки Touch-Memory DS1993 - DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS;
реестр Windows;
USB ключ eToken.
Реализация
СКЗИ КриптоПро CSP может функционировать в двух режимах:
в памяти приложения.
в Службе хранения ключей, которая реализована в виде системного сервиса Windows.
18 слайд
Удостоверяющий Центр
База - сервис сертификации Microsoft
Основные функции:
Регистрация пользователей
Изготовление сертификатов открытых ключей
Ведение реестра сертификатов открытых ключей
Управление сертификатами открытых ключей
Предоставление владельцам сертификатов функций генерации ключей и управления личными сертификатами
Обеспечивает:
Централизованное управление ключевой информацией
Распределенное управление ключевой информацией
Печать сертификатов на бумажных бланках
19 слайд
Архитектура УЦ
20 слайд
АРМ Администратора
Основные функции:
Регистрация пользователей
Мониторинг информации, связанной с обращением сертификатов
Выполнение регламентных процедур, связанных с отзывом сертификатов и публикацией списка отозванных сертификатов
Аудит работы Центра Регистрации
21 слайд
Регистрация пользователей
22 слайд
Электронная почта
MS Outlook (98, 2000, ХP)
MS Outlook Express
The BAT!
23 слайд
Контроль ПО (Authenticode)
.EXE
.CAB
.CAT
.OCX
.DLL
.STL
Сертификат
Х.509
SignCode.EXE
24 слайд
Защита соединений в Интернете
TLS 1.0
Аутентификация и защита трафика Internet Explorer - IIS
Разграничение
доступа к ресурсам сервера на основе данных аутентификации
Сертификаты X.509
Аутентификация ГОСТ Р 34.10-94
Шифрование ГОСТ 28147-89
Имитозащита ГОСТ 28147-89
Веб сервер
Удостоверяющий
Центр
25 слайд
Приложения
CryptoAPI 2.0
КриптоПро CSP
CAPICOM 1.0
26 слайд
Интеграция российских алгоритмов
Интеграция российских криптографических средств с
RSA Keon
Интеграция на платформе Windows 2000
Официальная бета-версия для Windows 2000
Локализация версии для Windows 2000
Подготовка версии для платформы Sun Solaris
27 слайд
Использование КриптоПРО CSP в Outlook Express
28 слайд
Иерархия Удостоверяющих Центров
НТЦ «Атлас»
Подчиненный УЦ
Нижний Новгород
Москва
Учебный УЦ
ЦеБИСК ННГУ
Корневой УЦ
29 слайд
Получение служебного сертификата
Центр
Сертификации
Центр
Регистрации
SOAP
TLS 1.0
Программный
интерфейс
( SOAP, TLS 1.0)
Администратор
Пользователь
Заявка на регистрацию
Регистрация пользователя
Служебный сертификат пользователя и сертификат УЦ
Запрос на служебный сертификат
Служебный сертификат
30 слайд
Получение рабочего сертификата
Центр
Сертификации
Центр
Регистрации
SOAP
TLS 1.0
Программный
интерфейс
( SOAP, TLS 1.0)
Администратор
HTTP/S
TLS 1.0
Пользователь
Запрос на рабочий сертификат
Запрос на рабочий сертификат
Рабочий сертификат
Рабочий сертификат
31 слайд
Конец презентации
Рабочие листы
к вашим урокам
Скачать
6 665 525 материалов в базе
Настоящий материал опубликован пользователем Шумская Ольга Николаевна. Инфоурок является информационным посредником и предоставляет пользователям возможность размещать на сайте методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Удалить материалВаша скидка на курсы
40%Курс профессиональной переподготовки
500/1000 ч.
Курс профессиональной переподготовки
300/600 ч.
Курс повышения квалификации
72/180 ч.
Курс профессиональной переподготовки
300/600 ч.
Мини-курс
6 ч.
Мини-курс
3 ч.
Мини-курс
6 ч.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.