ертифікати містять додаткову інформацію, що дозволяє ідентифікувати власника особистого ключа, відповідного даному відкритому ключу. Сертифікат повинен бути підписаний вповноваженим генератором сертифікатів.
Найбільш поширеним на даний момент стандартом сертифікатів є ITU-T X.509. Ця фундаментальна технологія застосовується в Windows 2000 і Windows Server 2003. Однак це не єдина форма сертифікатів. br/>
Центр сертифікації
Центр сертифікації (ЦС), або постачальник сертифікатів (Certificate Authority, CA), - це організація або служба, що створює сертифікати. ЦС виступає в якості гаранта істинності зв'язку між відкритим ключем суб'єкта й ідентифікує цей суб'єкт інформацією, що міститься в сертифікаті. Різні ЦС можуть застосовувати для перевірки зв'язку різні засоби, тому перед вибором гідного довіри ЦС важливо добре зрозуміти політику даного ЦС і застосовувані ним процедури перевірки.В <В
Застосування алгоритмів шифрування з відкритим ключем в Windows Server 2003
Операційні системи Windows 2000 і Windows Server 2003 володіють розвиненими засобами шифрування даних з відкритим ключем. На даний момент ці системи розташовують інтегрованим набором служб та інструментів адміністрування, призначених для створення, реалізації та управління додатками, що використовують алгоритми шифрування з відкритим ключем. Це дозволить незалежним розробникам програмного забезпечення інтенсивно застосовувати у своїх продуктах технологію загального ключа (shared key). <В
Компоненти Windows Server 2003, що забезпечують шифрування
На рис. 1 схематично показана логічна взаємозв'язок засобів Windows 2000, що дозволяють застосовувати шифрування з відкритим ключем.
Зображені на рис. 1 кошти необов'язково повинні розміщуватися на окремих комп'ютерах. Кілька служб можуть ефективно працюватиме на одному комп'ютері. Ключова ланка схеми - служби сертифікатів Microsoft (Microsoft Certificate Services). Вони дозволяють створити один або кілька ЦС підприємства, що підтримують створення і відгук сертифікатів. Вони інтегровані в Active Directory, де зберігається інформація про політиці ЦС та їх розташування. Крім того, за допомогою Active Directory виконується публікація інформації про сертифікати та відкликання. Засоби роботи з відкритим ключем не замінюють існуючих механізмів довірчих відносин між доменами і аутентифікації, реалізованих за допомогою контролерів доменів і центрів розповсюдження ключів Kerberos (Key Distribution Center, KDC). Навпаки, дані кошти взаємодіють з цими службами, що дозволяє додаткам безпечно передавати конфіденційну інформацію через Інтернет і корпоративним глобальних каналах.
В
Рісунок.1. Взаємозв'язок засобів Windows 2000 і Windows Server 2003, призначених для роботи з відкритим ключем
Підтримка прикладних засобів шифрування інформації з відкритим ключем включена до складу програмного забезпечення всіх операційних систем Windows. Основою архітектури підтримки прикладних програм шифрування інформації з відкритим ключем є бібліотека CryptoAPI. Вона дозволяє працювати з усіма встановлюваними постачальниками послуг шифрування (Cryptographic Service Providers, CSP) через стандартний інтерфейс. CSP можуть бути реалізовані на програмному рівні або з допомогою спеціального обладнання. Вони підтримують різні довжини ключів і алгоритми шифрування. Один з CSP підтримує смарт-карти. Послугами служб шифрування користуються служби управління сертифікатами. Вони відповідають стандарту Х.509 v3 і дозволяють організовувати примусове зберігання, служби підрахунку і дешифрування. Крім того, ці служби призначені для роботи з різними галузевими стандартами повідомлень. В основному вони підтримують стандарти PKCS і розроблений в IETF (Internet Engineering Task Force) набір попередніх стандартів PKIX (Public Key Infrastructure, X.509). Решта служби використовують CryptoAPI для додання додаткової функціональності прикладним програмам. Захищений канал (Secure Channel) підтримує мережеву аутентифікацію і шифрування у відповідності зі стандартними протоколами TLS і SSL, звернення до яких може бути виконано за допомогою інтерфейсів Microsoft Winlnet і SSPI. Служба Authenticode призначена для перевірки і підпису об'єктів і в основному використовується при отриманні інформації через Інтернет. <В
Політики безпеки
В
Політики безпеки діють в рамках сайту, домену або контейнера (підрозділи, або організаційної одиниці, OU) і поширюються на групи, комп'ютери і користувачів - тобто на всі об'єкти адміністрування. Безпека шифрування з відкритим ключем є одним з аспектів загальної політики безпеки Windows 2000/Server 2003 і інтегрована в її структуру. Це механізм, за допомогою якого можна за допомогою об'єктів політики безпеки централізовано здійснювати настройку і управління глобальною політикою роботи з відкритим ключем. За допомогою політики відк...
