Transcript здесь
Технологии и продукты
Microsoft в обеспечении ИБ
Лекция 10. Проблема аутентификации.
Инфраструктура открытых ключей
Цели
Изучить предпосылки проблемы аутентификации
Рассмотреть основные компоненты инфраструктуры
открытых ключей PKI
Изучить структуры и принципы работы
удостоверяющего центра
Рассмотреть технологии работы с отозванными
сертификатами
2
Высшая школа экономики - 2009
Процедура входа пользователя в АС
Регистрация
пользователя в АС
Вход пользователя в
АС
Идентификация
пользователя
Авторизация
пользователя
Аутентификация
пользователя
3
Высшая школа экономики - 2009
История вопроса
Проблема одноключевых систем
Распределение секретных ключей по информационному
каналу
Аутентификация секретного ключа (процедура, позволяющая
получателю удостовериться, что секретный ключ принадлежит
законному отправителю)
Протокол открытого распределения ключей У. Диффи
и М. Хеллмана -1976 г.
Модификации
DH, ECDH, MQV, ECMQV
Стандарты
IEEE P1363, ANSI X9.42 и ANSI X9.63
4
Высшая школа экономики - 2009
Сегодня
Single Sign-On
Протоколы аутентификации
Внутри АС организации
Вне границ защищаемого периметра
Пример решения: технология PKI –
инфраструктура открытых ключей
5
Высшая школа экономики - 2009
Почему нужна инфраструктура?
Необходимо быть уверенным, что
полученный ключ – ключ отправителя
Открытые ключи должны быть подписаны
легитимным органом
Легитимный орган
отдел кадров
министерство
коммерческая организация
Необходима служба, с помощью которой
можно эффективно управлять
распределением открытых ключей
6
Высшая школа экономики - 2009
Компоненты
Certification Authority (CA)
Политики выдачи сертификатов
Хранилище сертификатов
Registration Authority (RA)
Список отозванных сертификатов (CRL)
Протокол проверки легитимности сертификата
Структура доверия Центров сертификации
Иерархия Центров сертификации
Кросс-сертификация
7
Высшая школа экономики - 2009
Цифровой сертификат
Цифровое удостоверение
Стандарт X.509 версия 3
Информация, однозначно
идентифицирующая субъекта
Его открытый ключ
• Допустимые режимы использования
Информация, необходимая для проверки
сертификата
Срок действия сертификата
Информация о службе, выдавшей сертификат
Цифровая подпись CA
8
Высшая школа экономики - 2009
Microsoft Certificate Services
Certification Authority
Выдача сертификатов клиентам
• Генерация ключей, если нужно
Отзыв сертификатов
• Публикация Certificate Revocation List (CRL)
Хранение истории всех выданных
сертификатов
Web Enrollment Support
Запрос и получение сертификата через
Web-интерфейс
9
Высшая школа экономики - 2009
Архитектура CA
Protected Store
Открытые
ключи
Личные ключи
CSP
Сертификаты
Запросы
PKCS10
Certificate
Services
Entry
Module
Exit
Module
CRL
Certificate
Templates
Policy Module
10
Certificate
Database
Высшая школа экономики - 2009
Microsoft CA
Enterprise CA
Интегрирован с Active Directory
Выдает сертификаты только объектам,
имеющим учетные записи в каталоге
Использует шаблоны сертификатов
Stand-Alone CA
Не зависит от Active Directory
Может использоваться в качестве
независимого центра сертификации для
любых объектов
11
Высшая школа экономики - 2009
Иерархия CA
Роли CA
Root CA
• Корневой центр сертификации
• Сертифицирует нижестоящие CA
Subordinate CA
• Intermediate CA
– Сертифицирует CA следующего уровня
• Issuing CA
– Выдает сертификаты пользователям
Certification Path
Указывается в сертификате
12
Высшая школа экономики - 2009
Иерархия CA
Root CA
Sub CA 2
Sub CA 1
Intermediate CA
Issuing CA
Sub CA 4
Sub CA 3
Issuing CA
Root CA
Sub CA 2
Sub CA 3
User
Issuing CA
13
Certification
Path
Высшая школа экономики - 2009
CRL
Certificate Revocation List
Список отозванных сертификатов
Подписан Центром сертификации
Должен публиковаться и регулярно
обновляться каждым CA
• Active Directory
• Web
• Файловая система
Сертификат содержит список узлов
публикации CRL
14
Высшая школа экономики - 2009
Certificate Trust List
Список доверия
Аналог механизма
кросс-сертификации
• Список доверяемых
корневых центров
Ограничения по
режимам
сертификата
Назначается в
групповой политике
15
Высшая школа экономики - 2009
Хранилища сертификатов
Физические хранилища
Active Directory
Реестр операционной системы клиента
Файловая система
Логические хранилища
Personal
Trusted Root Certification Authorities
Enterprise Trust
Intermediate Certification Authorities
Active Directory User Object
Software Publisher’s Certificate
16
Высшая школа экономики - 2009
Структура хранилищ
CryptoAPI
User DS Store
CA Store
My Store
Trust Store
Root Store
Логические хранилища
LDAP
Default
Store Provider
Smart Card
CSP
Smart Card
Services
17
Физические
хранилища
Высшая школа экономики - 2009
Проверка сертификата
Тип сертификата
Root CA
Sub CA 2
Sub CA 3
Сертификат разрешено
использовать в данном режиме.
User
Срок действия
Запреты
Сертификат действителен в
данный момент.
Списки CTL не запрещают
использование сертификата для
данной задачи.
Целостность
Доверие
Сертификат корневого CA
присутствует в хранилище Trusted
Root Certification Authorities.
18
Цифровая подпись CA,
выдавшего сертификат, верна.
Легитимность
Сертификат не был отозван.
Высшая школа экономики - 2009
Инфраструктура открытого ключа
Root CA
DC
приложение с
поддержкой PKI
19
Высшая школа экономики - 2009
Функции PKI
Аутентификация
Однозначная идентификация сущности,
основанная на знании личного ключа
• Локальная аутентификация
• Удаленная аутентификация
Обеспечение целостности
Гарантия того, что на пути следования от
отправителя к адресату данные не были
модифицированы
Обеспечение конфиденциальности
Шифрование данных обеспечивает доступ к ним
только тем, кто ими владеет и кому они
предназначены
20
Высшая школа экономики - 2009
Secure Channel
“Microsoft Unified Security Support Provider”
Secure Sockets Layer (SSL) 3.0
Transport Layer Security (TLS) 1.0
При установлении защищенного сеанса
участники
Договариваются, какие криптографические
алгоритмы будут использоваться в рамках сеанса
• RSA – при обмене ключами
• RC4 – для шифрования данных
Взаимно аутентифицируют друг друга с помощью
сертификатов
21
Высшая школа экономики - 2009
Смарт-карты
Микрочип, интегрированный в пластиковую
карточку
Сертификат пользователя
Личный ключ пользователя
Идентификация владельца
Персональный идентификационный номер (PIN)
Поддержка Smart Cards
Gemplus
Schlumberger
22
Высшая школа экономики - 2009
Аутентификация
Сертификат вместо пароля
Надежность аутентификации Kerberos зависит от
качества паролей
PKINIT
Расширение Kerberos для интерактивной
аутентификации с помощью Smart Card
Соответствие сертификата учетной записи
домена
SSL/TLS, EAP-TLS
Возможна аутентификация пользователей, не
имеющих учетных записей в домене
23
Высшая школа экономики - 2009
IPSec
Защита данных на уровне сетевых пакетов
Прозрачно для приложений
Два уровня защиты
Обеспечение целостности пакета
• Authentication Header (AH)
Шифрование данных, передаваемых в пакете
• Encapsulating Security Payload (ESP)
Сертификаты открытых ключей
Один из режимов взаимной аутентификации
узлов
24
Высшая школа экономики - 2009
Использованные источники
Шаповал А. Использование PKI для создания
безопасных сетей // Microsoft, слайды, 2001
Сердюк В.А. Новое в защите от взлома
корпоративных систем. Техносфера; 2007.
25
Высшая школа экономики - 2009
Спасибо за внимание!