|
Ommaviy Kalit Infratuzilmalar
|
| bet | 5/7 | | Sana | 15.05.2024 | | Hajmi | 417,38 Kb. | | #236738 |
Bog'liq Asilbek Tarmoq Xavfsizligi Ommaviy Kalit Infratuzilmalar
The haqiqiyligi ning the sertifikatlar yuborilgan davomida TLS muzokaralar hisoblanadi hal qiluvchi ahamiyatga ega uchun the tekshirish the shaxs ning the muloqot qilish partiyalar. Hammasi ning the mexanizmlar va sub'ektlar bu kafolat bu haqiqiyligi va saqlab turish bu shakl a PKI 12 .
X.509 [16] standartiga va TLSga mos keladigan har qanday sertifikat uchun undagi ochiq kalit haqiqatda u subʼyekt sifatida eʼlon qilayotgan serverga tegishli ekanligi (odatda domen nomi shaklida) boʻladi. dan meros bo'lib qolgan ishonchga asoslangan allaqachon tan olingan hokimiyat uchun the server ichida savol. The ketma-ket ishonch jalb qilingan har bir sertifikatlashtirish organi tomonidan o'rnatilgan havolalar kriptografik imzolar bilan amalga oshiriladi biriktirilgan uchun the har xil sertifikatlar.
Sifatida shunday, the Sertifikat xabar dan qaysi hisoblanadi qazib olingan the ommaviy kalit qayerda asoslangan the sessiya sirlari aslida o'z ichiga oladi a zanjir ning sertifikatlar, qaysi the mijoz kutadi uchun shakl a havola dan a ishonchli ildiz uchun the so'radi server. Bular ildizlar bor umumiy sanab o'tilgan ichida registrlar ma'lum kabi sertifikat do'konlar . Microsoft, olma va Debian, uchun misol, saqlash shunday registrlar, qaysi bor qilingan mavjud uchun har qanday ilova o'rnatilgan yoqilgan bog'langan faoliyat ko'rsatmoqda tizimlari. Sifatida uchun Mozilla, bu saqlaydi uning Shaxsiy do'kon, orqali uning NSS [17] kutubxonasi.
11 elliptik Egri chiziq Kriptografiya.
muddati kabi bir nechta atributlar mavjud odatda to'ldirilgan bilan X.509v3 kengaytmalar. ANSSI tavsiya qiladi ergashish ilova A4 [18] ning the RGS 13 The kengaytmalar qilish bu mumkin ichida alohida uchun belgilang ramka ning foydalanish uchun a sertifikat va uchun mustahkamlash the kafolatlar ning the PKI. Masalan , EV 14 ning mavjudligi qo'shimcha talablar qo'shilganligi haqidagi kengaytma signallari uchun the shaxs tekshirish jarayon olib bordi tashqariga tomonidan the CA 15 oldin bu yetkazib beradi sertifikat .
PKI ning ishlashini buzishi mumkin bo'lgan xatolar yoki hujumlarni bartaraf etish uchun, lekin shuningdek uchun hamrohlik qilish the nominal protseduralar ning xavfsizlik salomatlik shunday kabi kalit yangilash, sertifikat bekor qilish mexanizmlar bor bo'lgan belgilangan. Ikki asosiy yechimlar mavjud:
CRL 16 fayllar: bular fayllar mos keladi uchun ro'yxatlar ning sertifikatlar bekor qilingan tomonidan a CA. Xizmat ko'rsatish a hozirgi kungacha CRL onlayn hisoblanadi qismi ning the xizmatlar bu a PKI ega ta'minlash uchun . The Manzil ning the CRL bog'langan bilan a CA hisoblanadi kirgan ichida the CRLDP 17 kengaytma ning har biri sertifikat berilgan sana tomonidan the CA;
the OCSP 18 protokoli: bu protokol, faoliyat ko'rsatmoqda ichida mijoz-server rejim, imkon beradi a mijoz uchun tekshirish the haqiqiyligi ning a sertifikat tomonidan so'roq qilish OCSP javob beruvchilar. Agar PKI qiladi a OCSP xizmat mavjud, the Manzil ning the bog'langan javob beruvchilar kerak bo'l mavjud ichida the AIA 19 kengaytmasi ning har biri sertifikat berilgan sana tomonidan the CA.
So'nggi tashabbuslar ushbu ikki mexanizmning tegishli kamchiliklarini, xususan, ko'pincha tarmoq resurslarini cheklovchi CRL hajmini va javob beruvchilarni xabardor qiladigan OCSP so'rovlarining sinxron tabiatini bartaraf etishga harakat qilmoqda . the profil ning a qismi ning the ulanishlar ning the mijoz, kabi bu mumkin shakl a bilan bezovtalik Hurmat bilan uchun maxfiylik himoya qilish.
Chrome brauzeri uchun CRL va OCSP dan foydalanish o'chirib qo'yilgan. Bu mexanizmlar edi almashtirildi bilan a reklama hoc tizimi. The Google jamoa aniqlaydi the eng muhim bekor qilishlar dan the CRLlar qilingan mavjud tomonidan the CA, va tarqatish ularni CRLSets deb nomlangan agregatlar ko'rinishida foydalanuvchilarga taqdim etadi [19]. Mozilla shunga o'xshash loyihani ishga tushirdi uchun uning Firefox brauzer, ostida the nomi OneCRL [20].
OCSP shtapellash hisoblanadi a muqobil yechim qaysi iborat uchun the server ichida bevosita ta'minlovchi a OCSP javob orasida the TLS kengaytmalar ning Server Salom , ichida shunday a yo'l bu mijoz yo'q uzoqroq ega uchun so'rov the javob beruvchilar o'zi [15].
13 The Referentiel umumiy de sécurité hisoblanadi a qonuniy standart uchun the frantsuz ommaviy sub'ektlar uchun ishonchli axborot tizimlarini boshqarish . U global kriptografik talablarni hamda sertifikatlarni boshqarish bo'yicha ko'rsatmalarni o'z ichiga oladi. Hujjat faqat frantsuz tilida mavjud. Shunga qaramay, ko'plab tavsiyalarni e'tiborga oling the RGS qarindosh uchun X.509 sertifikatlar bor esladi ichida Bo'lim 3.1 ning bu hidoyat.
14 kengaytirilgan Tasdiqlash.
15 Sertifikatlash Hokimiyat.
Bekor qilish mexanizmlariga qo'shimcha ravishda, Sertifikatning shaffofligi loyihasi boshlandi tomonidan Google va standartlashtirilgan tomonidan IETF [21], maqsadlar uchun yaratmoq ommaviy registrlar o'sha ro'yxat X.509 sertifikatlar. Bular registrlar ruxsat berish a TLS mijoz bu hisoblanadi mos keladi bilan Sertifikat Shaffoflik uchun tekshirish the haqiqiyligi ning aniq sertifikatlar qaysi edi yuborilgan uchun bu. Bu shuningdek qiladi bu mumkin uchun monitor the ko'rinish ning yangi sertifikatlar. Tekshirish olib boriladi tashqariga orqali a SCT 20 vaqt tamg'asi va imzolangan tomonidan the administratorlar ning bitta ning registrlar , qaysi ta'minlaydi bu the mos keladigan sertifikat edi jurnalilashtirilgan. The SCTlar TLS kengaytmasida, OCSP javobida yoki sertifikatning o'zida uzatilishi mumkin.
20 imzolangan Sertifikat Vaqt tamg'asi.
Bob 2
TLS Qo'l siqish Parametrlar
Bu bob qoplaydi the har xil parametrlari yoqilgan qaysi the xavfsizlik ning a TLS ulanish hisoblanadi asoslangan, holda oldindan hukm qilish the tabiat ning the ilova ma'lumotlar uchun bo'l himoyalangan yoki shifrlash kontekst. Veb-sayt xavfsizlik va TLS proksi konfiguratsiya bor murojaat qilgan yana texnik hujjatlar [1, 2].
qayta ko'plab tadqiqotlar mavzusi bo'ldi ochilgan yangi zaifliklar [22, 23, 24, 4]. In yorug'lik ning the tuzatishlar va Yillar davomida texnik xususiyatlarda ham, amalga oshirishda ham yaxshilanishlar , xavfsizlikni ta'minlashda ishtirok etadigan uskunalar va dasturiy ta'minotning so'nggi versiyalaridan foydalanish muhim ahamiyatga ega. kommunikatsiyalar.
|
| |
