¿Quién puede explicarme en detalle qué es un sistema de clave pública?

Kong Ning es un estudiante de posgrado en el Centro de información de redes informáticas de la Academia de Ciencias de China.

Este artículo presenta brevemente la tecnología PKI, que se utiliza ampliamente para resolver problemas de seguridad en el comercio electrónico. PKI (Infraestructura de clave pública) es un tipo de

Este artículo sigue la tecnología y las especificaciones estándar del uso de tecnología de cifrado de clave pública para proporcionar una plataforma básica segura para el desarrollo del comercio electrónico. El componente central de PKI

Parte de la CA (autoridad de certificación), el centro de certificación, es la autoridad emisora ​​de certificados digitales. Certificados digitales, a veces llamados certificados digitales.

Un certificado es un documento electrónico que se ajusta a un formato determinado y se utiliza para identificar la verdadera identidad del titular del certificado electrónico.

Palabras clave: Centro de certificación PKI de infraestructura de clave pública Certificado digital CA

Introducción a la infraestructura de clave pública

Con la popularidad de Internet, cada vez más personas se comunican a través de Internet y, en consecuencia, realizar transacciones a través de Internet.

El comercio electrónico móvil también se ha desarrollado ampliamente. El comercio electrónico abre mercados nacionales e internacionales para las empresas chinas y hace un buen uso de China.

Varios recursos externos brindan una excelente oportunidad. El comercio electrónico refleja verdaderamente la competencia igualitaria y la alta eficiencia de las empresas.

Las ventajas de alta eficiencia, bajo costo y alta calidad permiten a las empresas aprovechar las oportunidades comerciales y destacarse en la feroz competencia del mercado. Los economistas de los países desarrollados

han considerado el comercio electrónico como el foco del crecimiento económico nacional en el siglo XXI, y los departamentos chinos pertinentes también lo están promoviendo vigorosamente.

Las empresas desarrollan el comercio electrónico. Sin embargo, con el rápido desarrollo del comercio electrónico, también han surgido algunos problemas de seguridad en Internet.

En resumen, los problemas de seguridad que enfrentan los usuarios de Internet que realizan transacciones electrónicas son: 1. Confidencialidad: cómo garantizar que

se transmita la gran cantidad de información confidencial involucrada en el comercio electrónico. a través de la red pública no será robada; 2. Integridad: cómo garantizar que la información de la transacción transmitida en el comercio electrónico no sea manipulada y se realicen transacciones falsas mediante transmisión repetida por parte de terceros; autenticación de identidad

Autorización: cómo autenticar a ambas partes durante la transacción de comercio electrónico para garantizar la exactitud de las identidades de ambas partes;

Cuarto, anti-repudio: después de la transacción electrónica. Se completa la transacción comercial, cómo garantizar que ninguna de las partes de la transacción pueda Denegar una transacción que ha ocurrido.

Estos problemas de seguridad limitarán en gran medida el futuro desarrollo del comercio electrónico, entonces, ¿cómo garantizar la información en Internet?

La seguridad de la transmisión se ha convertido en una parte importante del desarrollo del comercio electrónico.

Para resolver estos problemas de seguridad de Internet, países de todo el mundo han realizado investigaciones durante muchos años e inicialmente formaron un conjunto completo de políticas de seguridad.

Toda la solución de seguridad de Internet, es decir, la tecnología PKI (Infraestructura de clave pública - Infraestructura de clave pública) ampliamente utilizada

Infraestructura), uso de la tecnología PKI (Infraestructura de clave pública) El certificado gestiona la clave pública y está certificada por una autoridad de confianza de terceros.

CA (Autoridad de Certificación) combina la clave pública del usuario con otra información de identificación del usuario (como nombre, correo electrónico, identidad)

Número de certificado, etc. ) juntos para verificar la identidad del usuario en línea. El método común actual se basa en PKI.

La estructura se combina con un certificado digital para garantizar la confidencialidad e integridad de la transmisión de información mediante el cifrado de la información digital a transmitir.

La firma garantiza la autenticidad de la identidad y resiste la negación.

La definición básica y composición de PKI

La definición básica de PKI es muy simple. La denominada PKI utiliza el concepto y la tecnología de claves públicas para implementar y proporcionar servicios de seguridad. La infraestructura de seguridad universal de

.

PKI es una nueva tecnología de seguridad, que consta de criptografía de clave pública, certificados digitales y autoridad de certificación (CA).

Y políticas de seguridad en cuanto a claves públicas.

PKI utiliza tecnología de clave pública para lograr la seguridad del comercio electrónico

Un sistema es una infraestructura utilizada para garantizar la seguridad de las comunicaciones de red y las transacciones en línea. En cierto sentido

En términos generales, PKI incluye un sistema de autenticación de seguridad, es decir, un sistema de autenticación de seguridad: el sistema CA es una parte integral de PKI.

PKI (Public Key Infrastructure) es un sistema que proporciona servicios de cifrado de clave pública y firma digital

Plataforma con el fin de gestionar claves y certificados. Se puede configurar una organización utilizando un marco PKI para administrar claves y certificados.

Un entorno de red seguro. PKI incluye principalmente cuatro partes: certificado en formato X.509 (X.509 V3) y revocación de certificado.

Lista CRL (x. 509 v2); acuerdo operativo de CA; acuerdo de gestión de CA; Un sistema de aplicación PKI típico, completo y eficaz debe tener al menos las cinco partes siguientes:

1) CA CA es el núcleo de PKI y CA es responsable de gestionar la arquitectura de PKI para todos los usuarios (incluido.

varias aplicaciones), los certificados, las claves públicas de los usuarios y la información de otros usuarios se colocan en Internet.

Para verificar la identidad del usuario, la CA también es responsable del registro en la lista negra y la publicación de los certificados de usuario en la lista negra, seguido de

una descripción detallada de la CA.

2) Servidor de directorio X.500 El servidor de directorio X.500 se utiliza para publicar certificados de usuario e información de lista negra, y los usuarios pueden consultar sus propios certificados o los de otras personas a través del protocolo LDAP estándar y descargar la lista negra. información.

3) El protocolo Secure Socket Layer (SSL) de un servidor WWW seguro que utiliza un algoritmo de cifrado (SSL) de alta resistencia.

Originalmente desarrollado por las empresas Netscape, se ha convertido en una red que identifica sitios web y navegantes.

Estándar global para comunicación cifrada entre servidores web.

4) Web (Plataforma de Comunicación Segura) La Web tiene dos partes: cliente Web y servidor Web, que se instalan por separado.

Del lado del cliente y del servidor, el cliente y el servicio están garantizados por el protocolo SSL con algoritmo de cifrado de alta resistencia.

Confidencialidad, integridad y autenticación de los datos del servidor.

5) Sistemas de aplicaciones de seguridad de desarrollo propio Los sistemas de aplicaciones de seguridad de desarrollo propio se refieren a varias aplicaciones específicas desarrolladas por diversas industrias.

Sistemas, como sistemas bancarios, de aplicación de valores, etc.

Una infraestructura completa de clave pública incluye la formulación de políticas de certificación (incluyendo estándares técnicos que se deben seguir, superiores, subordinados o pares entre agencias de certificación)

Relaciones, políticas de seguridad, Nivel de seguridad , objetos de servicio, principios y marco de gestión, etc. ), reglas de certificación, formulación de sistemas operativos, contenido e implementación técnica de las relaciones jurídicas entre las partes.

Tres principios de PKI

El principio de infraestructura de clave pública PKI, como su nombre indica, se basa en la criptografía de clave pública. Comprensión profunda de PKI

Debemos tener una comprensión profunda del conocimiento de criptografía involucrado en PKI. Aquí hay una breve introducción a las contraseñas.

Aprende conocimientos. Con el cifrado simétrico ordinario, se utiliza la misma clave para las operaciones de cifrado y descifrado. Por lo general, el algoritmo de cifrado utilizado es simple y eficiente, la clave es corta y extremadamente difícil de descifrar, porque la seguridad del sistema depende principalmente de la seguridad de la clave.

Por lo tanto, transmitir y guardar claves de forma segura en redes informáticas abiertas es un problema grave. Precisamente porque se dice que ambas partes en criptografía utilizan la misma clave, no se pueden lograr funciones de firma de datos y no repudio. Con este

Diferente cifrado asimétrico tiene dos claves, una clave pública y otra privada. Tienen esta propiedad: clave pública y clave privada.

Los archivos cifrados con una clave sólo se pueden descifrar con la clave privada, y los archivos cifrados con la clave privada sólo se pueden descifrar con la clave pública. Como sugiere el nombre, la clave pública es pública.

Sí, todo el mundo puede obtenerla; la clave privada, como su nombre indica, es privada y no debe ser obtenida por otros, por lo que es única.

Esto puede cumplir algunos de los requisitos de seguridad necesarios en el comercio electrónico. Por ejemplo, para demostrar que un archivo pertenece a una persona específica, puede utilizar

Una persona puede cifrar un archivo con su clave privada. Si alguien puede descifrar el archivo con su clave pública, significa. que el archivo está aquí.

Personalmente, esto se puede decir que es una implementación de certificación. Puedes usar esto si solo quieres que otros vean un archivo.

Cifrar el archivo con la clave pública de la persona y enviárselo. En este momento sólo él puede descifrarlo con su clave privada, que se puede decir que es confidencial.

Implementación. Sobre la base de este principio, también se puede lograr la integridad. Ésta es la idea central en la que se basa PKI, y esta parte es profunda.

Es importante dominar PKI, y esta parte también es la más interesante.

Por ejemplo, en la vida real, queremos enviar un documento confidencial a alguien en línea, solo queremos ese documento.

Personalmente, imaginamos muchos enfoques. Primero, pensamos en usar un cifrado simétrico para cifrar el archivo, pero después de agregar

el archivo cifrado y enviárselo, queríamos que supiera la clave de descifrado, por lo que apareció una nueva.

El problema es cómo transmitir la clave de forma segura. En este momento, descubrimos que la transmisión de claves simétricas no es confiable. Más tarde, pudimos utilizar cifrado asimétrico para cifrar y el problema se resolvió gradualmente. Sin embargo, hay un nuevo problema.

Salud, es decir, cómo determinar que la clave pública pertenece a alguien. Si obtenemos una clave pública falsa, por ejemplo

Queremos enviar un archivo a A, entonces. Empezamos a buscar la clave pública de A, pero luego B tuvo problemas y la regaló.

Reemplazar la clave pública de A nos hace pensar erróneamente que la clave pública de B es la clave pública de A, haciendo que terminemos usando la clave pública de B.

Cifre el archivo. Como resultado, A no puede abrir el archivo, pero B puede abrirlo, lo que le permite robar información confidencial.

Porque. Entonces, incluso con criptografía asimétrica, todavía no podemos garantizar la confidencialidad, entonces, ¿cómo podemos hacerlo?

¿Obtener la clave pública de exactamente la persona que queremos? En este momento, naturalmente pensamos en la necesidad de una institución de arbitraje o una organización autorizada que pueda proporcionarme con precisión la clave pública de la persona que necesitamos, que es la CA.

Esta es en realidad la clave para la aplicación de la tecnología de clave pública, es decir, cómo confirmar que alguien realmente posee la clave pública (y la clave privada correspondiente).

En PKI, para garantizar que la identidad del usuario coincida correctamente con la clave que posee, el sistema de clave pública requiere una

organización externa independiente y confiable que actúe como certificado. Una autoridad emisora ​​(CA) para confirmar el propietario de la clave pública.

Verdadera identidad. Al igual que la tarjeta de identificación emitida por la Oficina de Seguridad Pública, el centro de certificación emite un tipo de certificado de identidad llamado "certificado digital".

Este certificado digital contiene cierta información sobre la identidad del usuario y la clave pública que posee el usuario. Por ejemplo, la Oficina de Seguridad Pública sella la tarjeta de identificación

Por ejemplo, el centro de certificación utiliza su propia clave privada para agregar una firma digital al certificado digital. Cualquier usuario que quiera publicar su clave pública puede

ir al centro de certificación para solicitar su propio certificado. Después de autenticar la verdadera identidad de la persona, la autoridad de certificación emite un número que contiene la clave pública del usuario.

Certificado. Otros usuarios pueden confirmar al usuario siempre que puedan verificar la autenticidad del certificado y confiar en el centro de certificación que emitió el certificado. Clave pública de

. Las autoridades de certificación son el núcleo de la infraestructura de clave pública. Con un centro de certificación confiable, los usuarios pueden sentirse tranquilos y cómodos.

Servicios de seguridad aportados mediante el uso de tecnología de clave pública.

Las cuatro partes centrales de PKI CA

Como parte central de PKI, CA implementa algunas funciones muy importantes en PKI. En términos generales,

Las funciones de un centro de certificación (CA) incluyen la emisión de certificados, la renovación de certificados, la revocación de certificados y la verificación de certificados.

La función principal de CA es

la emisión y gestión de certificados digitales, los cuales se describen a continuación:

(1) Recibir solicitudes de verificación de certificados digitales de usuario final.

(2) Determinar si se acepta la aprobación del certificado de solicitud de certificado digital del usuario final.

(3) Emitir o negarse a emitir un certificado digital al solicitante - emitir el certificado.

(4) Recibir y procesar la solicitud de actualización del certificado digital del usuario final - actualización de certificado.

(5) Recibir la consulta y revocación del certificado digital del usuario final.

(6) Generar y publicar lista de revocación de certificados (CRL).

(7) Archivado de certificados digitales.

(8)Archivo de claves.

(9) Archivo de datos históricos.

Para realizar sus funciones, el centro de certificación CA consta principalmente de las siguientes tres partes:

Servidor de registro: el sitio web establecido a través del servidor web puede proporcionar a los clientes información las 24 horas, los 7 días de la semana. servicios ininterrumpidos. Cliente

Solicita un certificado online y rellena el formulario de solicitud de certificado correspondiente.

Agencia de aceptación y revisión de solicitudes de certificados: Responsable de la solicitud y revisión de certificados. Su función principal es aceptar solicitudes de certificados de clientes.

Por favor revise.

Servidor de centro de certificación: Es una entidad operativa que genera y emite certificados digitales, además proporciona gestión y emisión de certificados.

Servicio de generación y procesamiento de listas de revocación (CRL).

En una implementación específica, la CA debe hacer lo siguiente:

1) Verificar e identificar la identidad del solicitante del certificado.

2) Asegurar la calidad de la clave asimétrica utilizada por la CA para firmar el certificado.

3) Garantizar la seguridad de todo el proceso de visa y la seguridad de la clave privada de firma.

4) Gestión de la información del certificado (incluido el número de serie del certificado de clave pública, identificación de la CA, etc.).

5) Determinar y comprobar el período de validez del certificado.

6) Garantizar la unicidad de la identificación del sujeto del certificado y evitar nombres duplicados.

7) Publicar y mantener una lista de certificados no válidos.

8) Registrar todo el proceso de emisión del certificado.

9) Notificar al solicitante.

La más importante de ellas es la gestión del par de claves propias de la CA, que debe garantizar una alta confidencialidad y prevenir.

El partido falsificó el certificado. La clave pública de la CA es pública en Internet, por lo que se debe garantizar la integridad de todo el sistema de red. Firma digital de la CA

Asegura la legitimidad y autoridad del certificado (esencialmente la clave pública del titular). Hay dos formas de generar la clave pública de un usuario: (1).

Los usuarios generan ellos mismos la cola de claves y luego envían la clave pública a la CA de forma segura. Este proceso debe asegurar la verificación de la clave pública del usuario.

Prueba y exhaustividad. (2) La CA genera una cola de claves para el usuario y luego la transmite al usuario de forma segura. Este proceso debe

debe garantizar la confidencialidad, integridad y verificabilidad del par de claves. De esta manera, debido a que la CA genera la clave privada del usuario, existen mayores requisitos para la credibilidad de la CA. La CA debe destruir la clave privada del usuario posteriormente.

En términos generales, las claves públicas tienen dos usos, como se mencionó anteriormente en este artículo, una se usa para verificar firmas digitales y la otra

se usa para cifrar información. En consecuencia, el par de claves y el número utilizados para la firma/verificación de firmas digitales deben configurarse en el sistema de CA.

Según el par de claves de cifrado/descifrado, se denominan par de claves de firma y par de claves de cifrado respectivamente. Debido a que las funciones de los dos pares de claves son diferentes y su gestión también es muy diferente, se configuran dos pares de claves y dos certificados para un usuario en la CA.

Varios conceptos importantes en CA son: Almacenamiento de certificados. Un repositorio de certificados es un almacén centralizado de certificados emitidos y revocados por las CA.

Difang, al igual que las "páginas blancas" de Internet, es una base de datos de información pública en Internet para consulta pública.

Este es un punto muy crítico, porque el propósito más fundamental de establecer una CA es obtener las claves públicas de otras personas.

Cómo se hace normalmente ahora

El método consiste en publicar el certificado y la información de revocación del certificado en una base de datos, que se convierte en un servidor de directorio, que utiliza acceso al directorio LDAP.

Protocolo q, su formato estándar adopta la serie X.500. A medida que aumenta la base de datos, se puede utilizar el almacenamiento distribuido, es decir, utilizar

tecnología de duplicación de bases de datos para almacenar localmente algunos certificados relacionados con la organización y listas de revocación de certificados para mejorar la eficiencia de las consultas de certificados

Libros. . Este es un requisito básico para la implementación exitosa de cualquier sistema PKI a gran escala y una de las tecnologías clave para crear una CA de autoridad certificadora eficaz.

Otro concepto importante es la revocación de certificados. Por algunas razones de la vida real, como la filtración de la clave privada,

si el interesado desaparece o muere, el certificado debe ser revocado. Esta cancelación debe ser oportuna, por ejemplo

Si no se revoca durante mucho tiempo, el certificado caducado se seguirá utilizando, lo que provocará ciertas pérdidas. El método de revocación en una CA es la lista de revocación de certificados o CRL. Coloque los certificados no válidos en la CRL y publíquelos lo antes posible.

Dependiendo de la situación real, se pueden utilizar dos métodos, el mecanismo de publicación de revistas y el mecanismo de consulta en línea.

La copia de seguridad y recuperación de claves también es un vínculo muy importante. Si el usuario pierde la clave de datos descifrados por algún motivo, el texto cifrado no podrá descifrarse, lo que provocará la pérdida de datos. Para evitar esta situación, PKI

proporciona un mecanismo de recuperación para la copia de seguridad de las claves en las claves de descifrado. Este trabajo también debe ser realizado por una CA de organización confiable, y la copia de seguridad y recuperación de claves solo pueden ser para la clave de descifrado; no se puede realizar una copia de seguridad de la clave de firma porque no se utiliza.

La prueba de no repudio, si existe una copia de seguridad, no será propicia para garantizar el no repudio.

Asimismo, el periodo de validez del certificado es limitado, tanto por motivos teóricos como prácticos.

Su. En teoría, como un análisis de fragilidad de los algoritmos asimétricos actuales y las longitudes de clave, y en aplicaciones prácticas, se demuestra que para obtener seguridad en el uso de la clave, la clave pública debe cambiar con frecuencia. Por lo tanto, el certificado emitido necesita tener medidas de caducidad para sustituirlo por uno nuevo. Para resolver la complejidad de las actualizaciones de claves y el problema de la intervención manual, se debe utilizar PKI para actualizar automáticamente claves o certificados sin intervención del usuario. La idea rectora es: no importa cuál sea el propósito del certificado del usuario, el período de validez se verificará automáticamente en línea durante la autenticación del certificado y se alcanzará un cierto intervalo de tiempo antes del período de validez.

Inicia automáticamente el proceso de actualización y genera un nuevo certificado para reemplazar el antiguo.

Conclusión

Personalmente, creo que la tecnología PKI/CA tiene amplias perspectivas, pero su aplicación nacional apenas ha comenzado. Además, el calcio se utiliza como entidad especial para el comercio electrónico. Debe tener autoridad. Esta autoridad proviene de la autorización de un gobierno u organización pública que debe hacer que el público confíe en ella. ; debe ser justo y no involucrar a ambas partes de la transacción. Este artículo termina aquí.

Espero que este artículo ayude a más personas a comprender la PKI e invertir en su investigación.

Bibliografía:

[1] "Implementación y gestión de infraestructura de clave pública de seguridad electrónica (PKI)" [EE. UU.] Andrew Nash et al.

[2] "PKI and CA" es una publicación de Electronic Industry Press, Guan Zhensheng.