Zip File, мамкины хаЦкеры. В прошлом видео мы изучили основные принципы асимметричной криптографии и познакомились с таким важнейшим понятием, как электронная подпись. Узнали, чем простая подпись отличается от усиленной, почему квалифицированная самая топовая и как происходит процесс получения ЭП в удостоверяющем центре. Если пропустили ролик, то кликайте по ссылке в подсказке и обязательно посмотрите. Ну а сегодня мы поговорим про особенности инфраструктуры с открытым ключом (PKI), а также коснёмся вопросов нормативного регулирования криптографии. Если вам интересна данная тема, тогда не теряйте времени даром. Устраивайтесь по удобней, наливайте себе чаёк-кофеёк. И будем начинать душнить в нашем стиле, по полной программе. Погнали.
Инфраструктура с открытым ключом (PKI)
Инфраструктура открытых ключей связана с проверкой подлинности тех или иных сообщений. Именно она защищает от атак типа Man in the middle. В случае, если злоумышленник перехватит сообщение и подменит его, мы благодаря механизму PKI узнаем об этом.
Разберём суть атаки «Человек по середине». Предположим, абонент А, Армен. Хранит у себя ключ К_B, Абонента Б (Бушмен).
Злоумышленник N (Николай) по стечению обстоятельств получает доступ к ключам на компьютере Армена. Да не просто получает, а создаёт свою собственную пару ключей и подменяет ключ K_B на свой открытый ключ K_N.
Какой негодяй. Теперь, когда Армен захочет отправить Бушмену информацию, он зашифрует её поддельным ключом, даже не думая о том, что произошла какая-либо подмена.
Таким образом, Бушмен не сможет её прочесть. А вот Николай с помощью своего второго поддельного ключа – сможет.
Описанная проблема, как раз таки успешно решается путём использования сертификатов открытых ключей, т.к. цель последнего – сделать доступным и достоверным открытый ключ пользователя.
Т.е. такой сертификат устанавливает однозначное соответствие между открытым ключом и его владельцем. Вообще PKI это целая комплексная система обеспечения безопасности, построенная на использовании технологии шифрования с открытым ключом.
С помощью данной системы, как раз таки и реализуется шифрование и формирование электронной подписи в известных вам приложениях аля Крипто-Про.
Схематически структура выглядит следующим образом. В центре всего удостоверяющий центр, он:
- Генерирует собственный секретный ключ;
- Издаёт и подписывает сертификаты открытых ключей для центров, которые подчинены ему по иерархии, а также для конечных пользователей PKI;
- В случае наличия доверия с другими структурами PKI издаёт и подписывает кросс-сертификаты;
- Ну и ко всему прочему ведёт базу реестра всех изданных сертификатов и списки аннулированных.
Короче, забот полон рот у этих удостоверяющих центров. Остальные элементы структуры не так загружены. Репозиторий служит для хранения сертификатов и обеспечения к ним оперативного доступа. По сути просто БДшка.
Архив хранит инфу о ранее изданных сертификатах. Пользователи, в роли которых могут выступать, как физики и юр. лица, так и серверы, непосредственно получают эти сертификаты и работают с ними.
А ещё, что физическим, что юридическим лицам для безопасной работы необходим стабильный, годами проверенный хостинг. Сам я уже давно перевёл 80% проектов на платформу SptintHost.
Данный сервис можно использовать для быстрого создания сайтов практически любой сложности. В SprintHost каждый найдёт для себя тариф соответствующий его потребностям.
Универсальная линейка «Плюс», Турбо-битрикс заточенный под одноимённую CMS, ну и конечно, примиальные Эпики с помощью которых можно развернуть серьёзные проекты международного уровня.
А ещё, не так давно, ребята анонсировали новинку. Бесплатный no-code конструктор сайтов СпринтСайт. С его помощь можно создать заглушку, лендинг, портфолио и вообще любой одностраничник под нужную вам задачу без каких-либо знаний в области программирования.
Если не разберётесь что и как делать – смело стучите в Саппорт. Специалисты технической поддержки помогут оперативно и качественно решить буквально любую проблему связанную с хостом.
Однако, как показывает практика, пользователи крайне редко обращаются в сап т.к. по большей части всё и так интуитивно понятно.
Стильная панель управления в плиточном стиле, которая помогает не только освоиться вновь прибывшим, но и зарегистрировать своё персональное доменное имя в Спринтнеймс.
Так что если хотите себе домен в стиле МамкинХацкер.рф или Ru не спешите нести свои кровные левым хостерам. Воспользуйтесь моим фирменным промокодом и получите бесплатную регистрацию домена.
И кстати, если возьмёте сразу несколько неймов – стоимость продления будет существенно ниже. Если обычно оно обошлось бы для вас в 288 рубасов, то в случае покупки от 5 штук, ценник снизится до 258.
А если надумаете взять 30 и более – то вообще заберёте за 218. Поэтому лучше не мелочитесь. Подобное предложение упускать в наше время, сами знаете, непростительно.
Так что не упускайте его и вы. Переходите по ссылочке в описании и выбирайте топовый хостинг для размещения своих сайтов. Денчик рекомендует. Сам его юзаю.
Такс. Со структурой разобрались. Теперь давайте посмотрим архитектуру. Простая PKI содержит одиночные удостоверяющие центры и простые списки доверия.
Всё что больше, это уже либо иерархическая, либо сетевая модель из которой уже появляются мутанты в виде кросс-сертифицированной и гибридрой истории.
Вот пример простой инфраструктуры. Есть много удостоверяющих центров и они выдают пользователям сертификаты. В иерархической версии у нас появляется корневой удостоверяющий центр отвечающий за связь других центров.
Сетевая PKI особенна тем, что иерархии особой нет и сами удостоверяющие центры могут выдавать друг другу и пользователям сертификаты как захотят. Ну а в гибридной есть и элемент иерархии и прелесть анархии.
Соответственно применяется PKI в различных приложениях. В защите e-mail, VPN, RDP, различных веб-приложений. Для этого используются серверы для восстановления паролей, хранения сертификатов и серверы каталогов.
Последние отвечают за аутентификацию по данным учетных записей, управление доступом в зависимости от прав и обеспечивают конфиденциальность и целостность информации на всех этапах обращения с ней.
Сервер восстановления ключей в свою очередь создает и хранит резервные копии ключей, а также осуществляет в случае необходимости их восстановление. По этой причине к нему предъявляются повышенные требования к защите.
Ну и сервер сертификатов занимается тем, что осуществляет управление созданными ключами и сертификатами, которые могут быть использованы в различных компьютерных приложениях.
Сервисов в PKI хватает. Тут криптографические сервисы и сервисы управления, вспомогательные истории. В общем всё что нужно для того, чтобы обеспечить конфиденциальность, целостность и доступность, при этом обеспечив отказоустойчивую возможность идентификации, аутентификации и авторизации в сервисах.
Сама концепция PKI полностью строится на доверии и предположении, что каждая сторона понимает и принимает определённые риски. Доверие может складываться на основе иерархии центров, на базе политики и правил.
На основе привлечения третьих сторон, которым все доверяют. А также на основе распределённости сетки и информации о каком-то конкретном пользователе.
Все поля в сертификатах открытого ключа определяются в RFC 3280. Среди обязательных это серийный номер, идентификатор алгоритма подписи, имя издателя, период действия и информация о субъекте.
В виде структуры эта история выглядит как-то так. Сертификаты делятся на сертификаты конечных субъектов, т.е. нас пользователей или каких-то систем. Сертификаты удостоверяющих центров. Тут всё понятно.
И самоподписанные сертификаты. Жизненный цикл сертификата начинается с выпуска и завершается по окончанию срока действия. Либо же сразу выпускается новый на основе указанных внутри данных.
Нормативное регулирование криптографии
Существует ГОСТ связанный с криптографической защитой информации. СКЗИ или КСЗИ. Главное не перепутать его с СЗКИ, средствами защиты конфидециальной инфы.
Государство тщательно регулирует СКЗИ, так как это напрямую связано с оборонкой и государственной безопасностью. Контролирует вывоз технологий двойного назначения, это товары которые могут быть использованы при создании вооруженной техники.
Помимо этого накладывает на компании различные требования по защите инфы. И вообще всячески старается держать руку на пульсе в этом вопросе, в том числе во всём что касается цифровых подписей.
Т.е. если говорить обобщённо, то государство контролирует ввоз и вызов СКЗИ, использование, лицензирование и конечную сертификацию. Вообще сертификация это отдельная тема. Хоть отдельный сюжет снимай про эту историю.
Соответственно закон о ФСБ у нас регулирует деятельность федеральной службы. Нас это касается в основном по направлению обеспечения информационной безопасности. Остальное уже факультативные вещи. Нашей же головной болью занимается центр по лицензированию, решающий все вопросы связанные с сертификацией СЗИ.
Есть также отдельное постановление 313, которое регулирует разработку средств криптографической защиты. Модернизацию, произодство, монтаж и деятельность удостоверяющих центров.
Лицензия ФСБ вам не требуется в случае:
- Если вы просто собрались или собираетесь хранить хэши паролей.
- Если вы не относитесь к объектам КИИ.
- Используете маленькую длину ключей и слабые, не криптостойкие механизмы
- Ну и если вы просто используете криптографию для каких-то личных нужд в рамках тестирования.
Вообще у ФСБ есть собственная система сертификациями с реестром сертифицированных средств связанных с гостайной и СКЗИшками. В том числе там есть инфа по прогам для подписей.
Сертификация со стороны доблестной службы может идти очень долго ввиду огромного количества требований предъявляемых к соответствию СКЗИ. Данная процедура является страшным сном каждого безопасника в нашей стране.
Особенно учитывая тот факт, что законодательная база связанная с этой темой не обновлялась давненько. Нормативка не актуальная, соответственно и требования в ней старые, многие механизмы чисто технически уже не реализуемы.
А пункты обязывающие хранить дистрибутивы и документацию в несгораемом шкафу во времена облачных сервисов вообще звучат умилительно. Будто привет из советских времён.
Окей друзья. Нынче мы разобрали особенности инфраструктуры с открытым ключом (PKI), а также пробежались по основным вопросам касающихся нормативного регулирования криптографии.
Если понравилось видео – то не забудьте поставить лайк сразу после просмотра и оформить подписку клацнув на колокольчик, если по каким-то причинам ещё не сделали этого ранее.
Также не забывайте сделать домашнее задание к сегодняшнему уроку на сайте матёрых IT-спецов. Все работы проверяю я лично и даю качественную обратную связь ученикам.
Так что успевайте зарегистрироваться и попробовать свои силы в качестве безопасника, пока есть такая возможность. Ссылка на домашку по теме урока будет, как обычно в описании под видосом.
А я на сегодня с вами прощаюсь. До новых встреч, мои кайфные друже. Всем пока.