ГлавнаяПродуктыРешенияОтчетность через интернетУчебный центрЭлектронные торгиСкачатьО компании

Развертывание инфраструктуры открытых ключей - PKI


 

1. Введение

2. Системы с открытым (PKI) и симметричным распределением ключей

2.1. Преимущества симметричного распределения ключей перед системами с открытым распределением ключей

2.2. Преимущества открытого распределения ключей перед симметричным распределением

2.3. Какой же выбор?

3. Ключевая структура и система управления ключами технологии ViPNet

3.1. Общее описание структуры виртуальной сети ViPNet, определяющей ее ключевую структуру

3.2. Подсистема симметричного распределения ключей

3.3. Подсистема открытого распределения ключей

3.4. Общая технология функционирования подсистем распределения ключей в системе ViPNet

 

1. Введение

Применяемые в настоящее время в корпоративных сетях разнообразные способы обеспечения безопасности информации могут быть эффективными лишь в определенных условиях. Сложность операционных систем постоянно повышается, происходит непрерывная модернизация программного обеспечения. В связи с этим трудно гарантировать невозможность проведения все новых сетевых атак, направленных на получение доступа к информации, ослабление систем защиты, получение доступа к ключевой и парольной информации, имеющейся в компьютере, особенно, если источник атаки может быть скрыт.

Корпоративная сеть подвергается не только внешним атакам. Не менее вероятно присутствия злоумышленника внутри сети организации. Такие злоумышленники часто имеют конкретную цель и причину для атаки, в то время как атаки извне нередко носят случайный характер, и потенциальный ущерб от атаки изнутри, как правило, больше. Непростая задача обеспечить безопасность мобильных пользователей, компьютеры которых могут подключаться в самых непредсказуемых местах. А использование технологий с беспроводными соединениями (Wireless) просто невозможно без обеспечения надежной сетевой защиты каждого компьютера в отдельности. 

В этих условиях трудно достигнуть гарантий безопасности только путем шифрования отдельных видов трафика на прикладном или даже более низких уровнях (например, SSL) или использования только межсетевых экранов и систем обнаружения атак, устанавливаемых на границах сетей.

Единственным способом, позволяющим обеспечить высокий уровень безопасности работы компьютеров в сети в этих условиях, является реализация максимального уровня контроля над всем трафиком, поступающим в компьютер из сети, и его шифрование при соединениях с другими компьютерами, что позволило бы решить две основные задачи. Это обеспечить невозможность скрыть источник атаки, а значит максимально повысить для атакующих риск обнаружения, и реализовать высоконадежный механизм криптографической фильтрации трафика. 

Такую возможность предоставляют технологии виртуальных защищенных сетей (VPN), функционирующие на сетевом уровне, и обеспечивающие шифрование произвольного трафика, как между отдельными компьютерами, так и сетями, и интегрированные с персональными и межсетевыми экранами. Данные технологии позволяют реализовать максимальный уровень контроля над трафиком, поступающим из сети, независимо от места и характера проводимых атак. Под технологиями VPN понимают разные решения. Мы здесь говорим только о безопасных решениях, в которых реализовано прозрачное для любых приложений шифрование трафика.

Именно по этой причине различные системы VPN получают все более широкое распространение. И это, прежде всего решения IPSEC, которые стали определенным стандартом и широко внедряются не только в компьютерные технологии, но и во многие аппаратные решения.

И здесь мы переходим к основному вопросу настоящей статьи, а какая же ключевая структура наиболее приемлема для построения виртуальных защищенных сетей с шифрованием циркулирующего в них трафика. Как известно протокол IPSEC это многосторонний протокол, определяющий самые разные вопросы для организации безопасного соединения. Но все же он, прежде всего многими своими позициями ориентирован на технологии PKI с открытым распределением ключей. Данный протокол допускает использование и симметричных ключей, но никак не решает способ их распространения и использования.

К сожалению, давно, когда средства вычислительной техники были еще недостаточно развиты, возник стереотип, что распределение секретных симметричных ключей является сложной, плохо масштабируемой и не автоматизируемой задачей. Это привело к тому, что системы с открытым распределением ключей стали получать существенно более широкое распространение, в том числе и в технологиях VPN, несмотря на те проблемы, которые возникают в связи с этим. Попытаемся сравнить эти две системы распределения ключей и соответственно шифрования.

2. Системы с открытым (PKI) и симметричным распределением ключей.

Рассматривая ключевые системы, мы, прежде всего, имеем в виду решение задачи конфиденциального обмена информацией, то есть шифрование информации. 

Кратко напомним, что в системах с симметричным распределением ключей для обеспечения конфиденциальной связи между двумя абонентами эти абоненты должны секретным образом предварительно обменяться некоторым одним ключом, на базе которого будет осуществляться шифрование информации. И в общем случае у каждого абонента должен иметься свой набор ключей для связи с другими абонентами.

В системах с открытым распределением ключей ситуация несколько иная. Каждый абонент имеет одну собственную пару ключей. Один ключ - секретный, который он формирует сам, никому не передает, и должен надежно хранить его у себя. Второй ключ, который сформирован с использованием секретного ключа, не является секретом и передается всем желающим с ним связываться (предварительно, через общедоступное хранилище, или в процессе сеанса связи). Но есть важное требование к этому ключу - должна быть обеспечена достоверность его передачи. То есть необходимо быть на 100 % уверенным, что этот открытый ключ принадлежит именно тому абоненту, с которым Вы желаете связываться, а не является подставным. Если такой уверенности нет, то о никакой конфиденциальности говорить не приходится. Как будет показано дальше, надежное решение именно этой задачи преимущества открытого распределения ключей ставит под вопрос. Для осуществления конфиденциальной связи с некоторым абонентом на обеих сторонах из своего секретного ключа и открытого ключа другой стороны формируется общий симметричный ключ, на базе которого и производится шифрование и расшифрование передаваемой информации.