Public Key Infrastructure (PKI) je set tehnologija koje nam pomažu da zaštitimo komunikaciju i transakcije organizacije. Certification Authorities (CAs) je jedan od komponenata PKI infrastrukture. Administrator može da koristi CAs za upravljanje, distribuciju i validaciju digitalnih sertifikata koji se koriste za zaštitu i bezbednost informacija. Administrator može da instalira Active Directory Certificate Services (AD CS) kao Root CA ili kao Subordinate CA u organizaciji. Može da koristi Certification Revocation liste (CRLs) da bi upravljao validnosti sertifikata unutar organizacije.

PKI pomaže i autentifikuje validnost svake strane koja je uključena u elektronsku transakciju. Takođe pomaže uspostavljanju poverenja između kompjutera i određenih aplikacija koje hostuju aplikativni serveri. Najčešći primer uključuje korišćenje PKI tehnologije u Security of Electronic Commerce Web sajtovima. Digitalni sertifikati su ključni PKI komponenti koji poseduju elektronske podatke o identitetu (Credentials) koji se koriste za autentifikaciju korisnika ili kompjutera. Sertifikati se mogu proceniti (proveriti validnost) koristeći Certificate Discovery, Path Validation & Revocation Cheking Proces. Windows Server 2008 podržava PKI podešavanjem i konfigurisanjem Active Directory Services (AD CS) komponenata.

Šta je PKI?

PKI je kombinacija softvera, tehnologija za enkripciju (šifrovanje), procesa i servica koji pomažu organizaciji da obezbedi i zaštiti komunikaciju i poslovne transakcije.

Prednosti korišćenja PKI uključuju:

  • Confidentiality (poverljivost): PKI daje administratoru mogućnost šifrovanja i podataka koji se smeštaju i podataka koji se šalju preko mreže.

  • Integrity (integritet): Možemo da koristimo PKI da digitalno potpišemo podatke. Digitalni potpis može da identifikuje modifikaciju podataka u toku komunikacije.
     
  • Authenticity & Nonrepudiation: Autentifikacioni podaci prolaze kroz Hach algoritam kao što je na primer Secure Hash Algorithm 1 (SHA1), da bi proizveo Message Digest. Message Digest je nakon toga digitalno potpisan koristeći pošiljaočev privatni ključ da bi se dokazalo da je Message Digest producirao pošiljalac. Nonrepudiation je digitalno potpisani podatak, kao i dokaz o originalnosti podatka.

  • Standards-based approach: PKI je standard-based, što znači da su se različiti tehnološki proizvođači složoli oko toga da svi podržavaju PKI-based sigurnosnu infrastrukturu.


Komponente PKI-a

PKI se sastoji od nekoliko internih objekata, aplikacija i servisa. Ove komponente rade zajedno da bi distribuirali i procenjivali sertifikate.

PKI uključuje nekoliko komponenata:

  • Sertifikati i CA upravljački alati: Nudi i GUI (grafički korisnički interfejs) i alatke za komandu liniju za upravljanje dodeljivanjem sertifikata, objavljivanje CA sertifikata i CRLs, konfiguraciju Cas, importovanje i eksportovanje sertifikata i ključeva, oporavak arhiviranih privatnih ključeva.

  • CA (Certification Authority): Dodeljuje i upravlja sertifikatima za korisnike, kompjutere i servise. Svaki sertifikat koji je dodelio CA je potpisan digitalnim sertifikatom CA.

  • Authority Information Access (AIA) i CRL Distribution Points (CDP): Ovi distribucijski znaci nude objavljivanje lokacija, unutar ili van organizacije, za koje je dostupna Certificate Revocation lista (CRL). AIA ekstenzija određuje gde mogu da se pronađu ažurirani sertifikati za CA. CDP ekstenzija određuje gde se može pronaći ažurirani CRL koji je potpisan CA. Objavljivači mogu da koriste bilo koji direktorijumski servis, uključujući x.500, LDAP. Objavljivači, takođe, mogu da objave sertifikate i CRLs na veb serverima.

  • Šabloni sertifikata (Certificate Template): Šablon sertifikata definiše sadržaj i svrhu digitalnog sertifikata. On definiše zahteve za izdavanje sertifikata, svrhu sertifikata, implementirane ekstenzije.

  • Digitalni sertifikat: Digitalni sertifikati nude osnovu PKI. Digitalni sertifikati su elektronski podaci o identitetu (Credentials) koji se sastoje iz javnog i privatnog ključa (koji se koristi prilikom autentifikovanja korisnika). Digitalni sertifikati se takođe koriste za procenjivanje kompjutera i takođe mogu se koristiti da bi se osiguralo da softver ili kod koji se startuje potiče iz poverljivog izvora.


Procena validnosti sertifikata koristeći PKI soluciju

CryptoAPI je set Application Programming Interfaces (APIs) koji odrađuje kriptografske operacije, implemetaciju dodatnih kriptografskih provajdera i kreira, smešta i ispravlja kriptografske ključeve. Ovaj API pomaže u proceni validnosti sertifikata u PKI soluciji. Tri glavna procesa u CryptoAPI uključuju:

  • Certificate discovery: U ovom procesu svi sertifikati su keširani (Cached) kada su sertifikati selektovani iz Certificate Store-a ili preko URL-a.
  • Path Validation: U ovom procesu, svi sertifikati u lancu sertifikata su provereni (Validated). Ovaj proces proverava validnost sertifikata sve dok lanac sertifikata (Certificate Chain) ne prekine (uništi) poverljivi, Self-signed sertifikat.
  • Revocation Checking: U ovom procesu, svaki sertifikat u lancu sertifikata se proverava. Ova provera pomaže u proveravanju da nijedan sertifikat nije ukinut.


 

 Slika 4.1

Aplikacije koje koriste PKI

Postoje različite aplikacije koje imaju mogućnost da koriste PKI. Windows Server 2003 & Windows Server 2008 PKI podržava sledeće tipove PKI-omogućenih aplikacija:

  • Digital Signatures: Deo koda koji može da se zakači na digitalnu poruku da bi se osiguralo da sadržaj poruke neće biti modifikovan u toku prenosa. Digitalni potpis će takođe proveriti i proceniti onoga ko šalje poruku.

  • Smart card logovanje: Implementira dva faktora autentifikacije. Ovo osigurava da korisnik mora posedovati nešto (smart karticu) i mora da zna nešto (PIN kod) da bi uspešno prošao proces autentifikacije.

  • Secure e-mail: Nudi poverljivu komunikaciju, integritet podataka i nemogućnost odbacivanja poruke (Non-Repundation). Možemo da povećamo sigurnost mejla korišćenjem sertifikata za proveru podataka o identitetu pošiljaoca, autentičnost poruke.

  • Software Cod potpisivanje (Signing): Štiti kompjutere od instalacije neautorizovanih Microsoft ActiveX kontrola ili Java programa. Microsoft Authenticode tehnologija omogućava objavljivačima softvera da digitalno potpišu bilo koju formu aktivnog sadržaja, uključujući Multiple-file arhive.

  • IP sigurnost (IPSec): Omogućava šifrovanu i digitalno potpisanu komunikaciju koja prolazi kroz dva kompjutera ili između kompjutera i rutera preko javne mreže.

  • 802.1x: Dozvoljava samo autentifikovanim korisnicima pristup mreži i štiti podatke koji se šalju kroz mrežu. Institut Electrical and Electronics Engineers (IEEE) Standard 802.1x u PKI nudi centralizovanu korisničku identifikaciju, autentifikaciju, dinamičko upravljanje ključevima, Accounting za dodeljivanje autentifikovanog mrežnog pristupa u 802.11 bežičnim mrežama i žičnim eternet mrežama.

  • Software Restriction Policy: Omogućava administratorima da identifikuju programe koji mogu da se startuju na kompjuteru odrađujući digitalnu Hash funkciju na binarnom kodu aplikacije. Takođe, modemo da koristimo i digitalne sertifikate za identifikaciju koda koji može da se startuje na kompjuteru.

  • Internet autentifikacija: Autentifikuje klijenta i server za transakcije u klijent-server transmisiji. Na primer, kada koristimo SSL (Secure Socket Layer) šifrovanje, klijent autentifikuje Web server proverom sertifikata koji server prezentuje.

  • EFS (Encrypting File System): Dozvoljava korisnicima da smeštaju podatke na disk u šifrovanom formatu.


Kako AD CS podržava PKI?

AD CS dopušta podešavanje i konfiguraciju sledećih komponenata:

 Komponente

 Opis

 CA (Certification  Components)

Ova komponenta dodeljuje sertifikate korisnicima, kompjuterima i servisima. Kao dodatak, on upravlja validnošću sertifikata. Više CAs može da se poveže i time kreira forma PKI-a.

 CA Web Enrollment

Ova komponenta omogućava korisnicima da se konektuju na CA i preko internet pretraživača:

  • Zahtevaju izdavanje ili obnavljanje sertifikata
  • Ponovo dobiti CRLs
  • Ažurirati Root Certificate

 Online Responder

Ova komponenta dekodira zahteve za Revocation status za specifične sertifikate, proverava status tri sertifikata i vraća potpisani odgovor koji sadrži zahtevanu informaciju o statusu sertifikata. Online responder može da se instalira na bilo koji kompjuter na kojem radi Windows Server 2008 Enterprise ili Windows Server 2008 Datacenter. Certificate Revocation podaci mogu da dođu iz Certification Authority (CA) na kompjuteru na kojem radi Windows Server 2008, Windows Server 2003 ili od Non-Microsoft CA.

 Network Device  Enrollment  Service

Ova komponenta dopušta ruterima i drugim mrežnim uređajima koji su povezani na mrežu da dobijaju sertifikate.


Tabela 4.1

Dodaj komentar Sviđa mi se - (1) Ne sviđa mi se - (0)    

  • Predstavljanje PKI 1
  • Predstavljanje PKI 2
  • Predstavljanje PKI 3