подписывайся на канал Денчика на ютубе
 

 

МЕНЮ

Инфраструктура открытых ключей (PKI). Как работает TSL/SSL шифрование в деле?

Подробности
Категория: Информационная безопасность
Просмотров: 179

Инфраструктура открытых ключей (PKI). Как работает TSL/SSL шифрование в деле?Zip File, мамкины хаЦкеры. В прошлом видео мы изучили основные принципы асимметричной криптографии и познакомились с таким важнейшим понятием, как электронная подпись. Узнали, чем простая подпись отличается от усиленной, почему квалифицированная самая топовая и как происходит процесс получения ЭП в удостоверяющем центре. Если пропустили ролик, то кликайте по ссылке в подсказке и обязательно посмотрите. Ну а сегодня мы поговорим про особенности инфраструктуры с открытым ключом (PKI), а также коснёмся вопросов нормативного регулирования криптографии. Если вам интересна данная тема, тогда не теряйте времени даром. Устраивайтесь по удобней, наливайте себе чаёк-кофеёк. И будем начинать душнить в нашем стиле, по полной программе. Погнали.

Инфраструктура с открытым ключом (PKI)

Инфраструктура открытых ключей связана с проверкой подлинности тех или иных сообщений. Именно она защищает от атак типа Man in the middle. В случае, если злоумышленник перехватит сообщение и подменит его, мы благодаря механизму PKI узнаем об этом.

Разберём суть атаки «Человек по середине». Предположим, абонент А, Армен. Хранит у себя ключ К_B, Абонента Б (Бушмен).

Злоумышленник N (Николай) по стечению обстоятельств получает доступ к ключам на компьютере Армена. Да не просто получает, а создаёт свою собственную пару ключей и подменяет ключ K_B на свой открытый ключ K_N.

Какой негодяй. Теперь, когда Армен захочет отправить Бушмену информацию, он зашифрует её поддельным ключом, даже не думая о том, что произошла какая-либо подмена.

Таким образом, Бушмен не сможет её прочесть. А вот Николай с помощью своего второго поддельного ключа – сможет.

Описанная проблема, как раз таки успешно решается путём использования сертификатов открытых ключей, т.к. цель последнего – сделать доступным и достоверным открытый ключ пользователя.

Т.е. такой сертификат устанавливает однозначное соответствие между открытым ключом и его владельцем. Вообще PKI это целая комплексная система обеспечения безопасности, построенная на использовании технологии шифрования с открытым ключом.

С помощью данной системы, как раз таки и реализуется шифрование и формирование электронной подписи в известных вам приложениях аля Крипто-Про.

Схематически структура выглядит следующим образом. В центре всего удостоверяющий центр, он:

  • Генерирует собственный секретный ключ;
  • Издаёт и подписывает сертификаты открытых ключей для центров, которые подчинены ему по иерархии, а также для конечных пользователей PKI;
  • В случае наличия доверия с другими структурами PKI издаёт и подписывает кросс-сертификаты;
  • Ну и ко всему прочему ведёт базу реестра всех изданных сертификатов и списки аннулированных.

Короче, забот полон рот у этих удостоверяющих центров. Остальные элементы структуры не так загружены. Репозиторий служит для хранения сертификатов и обеспечения к ним оперативного доступа. По сути просто БДшка.

Архив хранит инфу о ранее изданных сертификатах. Пользователи, в роли которых могут выступать, как физики и юр. лица, так и серверы, непосредственно получают эти сертификаты и работают с ними.

А ещё, что физическим, что юридическим лицам для безопасной работы необходим стабильный, годами проверенный хостинг. Сам я уже давно перевёл 80% проектов на платформу SptintHost.

Данный сервис можно использовать для быстрого создания сайтов практически любой сложности. В SprintHost каждый найдёт для себя тариф соответствующий его потребностям.

Универсальная линейка «Плюс», Турбо-битрикс заточенный под одноимённую CMS, ну и конечно, примиальные Эпики с помощью которых можно развернуть серьёзные проекты международного уровня.

А ещё, не так давно, ребята анонсировали новинку. Бесплатный no-code конструктор сайтов СпринтСайт.  С его помощь можно создать заглушку, лендинг, портфолио и вообще любой одностраничник под нужную вам задачу без каких-либо знаний в области программирования.

Если не разберётесь что и как делать – смело стучите в Саппорт. Специалисты технической поддержки помогут оперативно и качественно решить буквально любую проблему связанную с хостом.

Однако, как показывает практика, пользователи крайне редко обращаются в сап т.к. по большей части всё и так интуитивно понятно.

Стильная панель управления в плиточном стиле, которая помогает не только освоиться вновь прибывшим, но и зарегистрировать своё персональное доменное имя в Спринтнеймс.

Так что если хотите себе домен в стиле МамкинХацкер.рф или Ru не спешите нести свои кровные левым хостерам. Воспользуйтесь моим фирменным промокодом и получите бесплатную регистрацию домена.

И кстати, если возьмёте сразу несколько неймов – стоимость продления будет существенно ниже. Если обычно оно обошлось бы для вас в 288 рубасов, то в случае покупки от 5 штук, ценник снизится до 258.

А если надумаете взять 30 и более – то вообще заберёте за 218. Поэтому лучше не мелочитесь. Подобное предложение упускать в наше время, сами знаете, непростительно.

Так что не упускайте его и вы. Переходите по ссылочке в описании и выбирайте топовый хостинг для размещения своих сайтов. Денчик рекомендует. Сам его юзаю.

Такс. Со структурой разобрались. Теперь давайте посмотрим архитектуру. Простая PKI содержит одиночные удостоверяющие центры и простые списки доверия.

Всё что больше, это уже либо иерархическая, либо сетевая модель из которой уже появляются мутанты в виде кросс-сертифицированной и гибридрой истории.

Вот пример простой инфраструктуры. Есть много удостоверяющих центров и они выдают пользователям сертификаты. В иерархической версии у нас появляется корневой удостоверяющий центр отвечающий за связь других центров.

Сетевая PKI особенна тем, что иерархии особой нет и сами удостоверяющие центры могут выдавать друг другу и пользователям сертификаты как захотят. Ну а в гибридной есть и элемент иерархии и прелесть анархии.

Соответственно применяется PKI в различных приложениях. В защите e-mail, VPN, RDP, различных веб-приложений. Для этого используются серверы для восстановления паролей, хранения сертификатов и серверы каталогов.

Последние отвечают за аутентификацию по данным учетных записей, управление доступом в зависимости от прав и обеспечивают конфиденциальность и целостность информации на всех этапах обращения с ней.  

Сервер восстановления ключей в свою очередь создает и хранит резервные копии ключей, а также осуществляет в случае необходимости их восстановление. По этой причине к нему предъявляются повышенные требования к защите.

Ну и сервер сертификатов занимается тем, что осуществляет управление созданными ключами и сертификатами, которые могут быть использованы в различных компьютерных приложениях.

Сервисов в PKI хватает. Тут криптографические сервисы и сервисы управления, вспомогательные истории. В общем всё что нужно для того, чтобы обеспечить конфиденциальность, целостность и доступность, при этом обеспечив отказоустойчивую возможность идентификации, аутентификации и авторизации в сервисах.

Сама концепция PKI полностью строится на доверии и предположении, что каждая сторона понимает и принимает определённые риски. Доверие может складываться на основе иерархии центров, на базе политики и правил.

На основе привлечения третьих сторон, которым все доверяют. А также на основе распределённости сетки и информации о каком-то конкретном пользователе.

Все поля в сертификатах открытого ключа определяются в RFC 3280. Среди обязательных это серийный номер, идентификатор алгоритма подписи, имя издателя, период действия и информация о субъекте.

В виде структуры эта история выглядит как-то так. Сертификаты делятся на сертификаты конечных субъектов, т.е. нас пользователей или каких-то систем. Сертификаты удостоверяющих центров. Тут всё понятно.

И самоподписанные сертификаты. Жизненный цикл сертификата начинается с выпуска и завершается по окончанию срока действия. Либо же сразу выпускается новый на основе указанных внутри данных.

Нормативное регулирование криптографии

Существует ГОСТ связанный с криптографической защитой информации. СКЗИ или КСЗИ. Главное не перепутать его с СЗКИ, средствами защиты конфидециальной инфы.

Государство тщательно регулирует СКЗИ, так как это напрямую связано с оборонкой и государственной безопасностью. Контролирует вывоз технологий двойного назначения, это товары которые могут быть использованы при создании вооруженной техники.

Помимо этого накладывает на компании различные требования по защите инфы. И вообще всячески старается держать руку на пульсе в этом вопросе, в том числе во всём что касается цифровых подписей.

Т.е. если говорить обобщённо, то государство контролирует ввоз и вызов СКЗИ, использование, лицензирование и конечную сертификацию. Вообще сертификация это отдельная тема. Хоть отдельный сюжет снимай про эту историю.

Соответственно закон о ФСБ у нас регулирует деятельность федеральной службы. Нас это касается в основном по направлению обеспечения информационной безопасности. Остальное уже факультативные вещи. Нашей же головной болью занимается центр по лицензированию, решающий все вопросы связанные с сертификацией СЗИ.

Есть также отдельное постановление 313, которое регулирует разработку средств криптографической защиты. Модернизацию, произодство, монтаж и деятельность удостоверяющих центров. 

Лицензия ФСБ вам не требуется в случае:

  • Если вы просто собрались или собираетесь хранить хэши паролей.
  • Если вы не относитесь к объектам КИИ.
  • Используете маленькую длину ключей и слабые, не криптостойкие механизмы
  • Ну и если вы просто используете криптографию для каких-то личных нужд в рамках тестирования.

Вообще у ФСБ есть собственная система сертификациями с реестром сертифицированных средств связанных с гостайной и СКЗИшками. В том числе там есть инфа по прогам для подписей.

Сертификация со стороны доблестной службы может идти очень долго ввиду огромного количества требований предъявляемых к соответствию СКЗИ. Данная процедура является страшным сном каждого безопасника в нашей стране.

Особенно учитывая тот факт, что законодательная база связанная с этой темой не обновлялась давненько. Нормативка не актуальная, соответственно и требования в ней старые, многие механизмы чисто технически уже не реализуемы.

А пункты обязывающие хранить дистрибутивы и документацию в несгораемом шкафу во времена облачных сервисов вообще звучат умилительно. Будто привет из советских времён.

Окей друзья. Нынче мы разобрали особенности инфраструктуры с открытым ключом (PKI), а также пробежались по основным вопросам касающихся нормативного регулирования криптографии.

Если понравилось видео – то не забудьте поставить лайк сразу после просмотра и оформить подписку клацнув на колокольчик, если по каким-то причинам ещё не сделали этого ранее.

Также не забывайте сделать домашнее задание к сегодняшнему уроку на сайте матёрых IT-спецов. Все работы проверяю я лично и даю качественную обратную связь ученикам.

Так что успевайте зарегистрироваться и попробовать свои силы в качестве безопасника, пока есть такая возможность. Ссылка на домашку по теме урока будет, как обычно в описании под видосом.

А я на сегодня с вами прощаюсь. До новых встреч, мои кайфные друже. Всем пока.

Не можешь понять, куда делись видео по взломам и хакингу? Они переехали в наш уютный паблик в телеге

telegram chanel

Хочешь больше контента? Подписывайся на YouTube-канал!

Курс «Linux с нуля»

linux

Курс по Windows Server 2016

Обучающий курс «Администрирование Windows Server 2016»

Курс «Диплом за неделю»

diplom

Пособие «Библия вардрайвинга»

Пособие «Библия вардрайвинга»

Курс Cisco «IT Essentials»

Курс Cisco «IT Essentials»

Курс Cisco «CCNA: Introduction to Networks»

Курс Cisco «CCNA: Introduction to Networks»

По полочкам

© 2024. IT-спец. Денис Курец.