Seminarski rad iz predmeta:

SIGURNOST NA INTERNETU
TEMA: PKI SISTEM

Mentor:

Studenti:

smer:

Broj indeksa:

SADRAJ:

INFRASTRUKTURA SISTEMA SA JAVNIM KLJUEVIMA OSNOVNE FUNKCIJE PKIa OSNOVNE KOMPONENTE PKI SISTEMA DEFINICIJA SERTIFIKACIONOG TELA GENERIKI MODEL REALIZACIJE SERTIFIKACIONOG TELA DEFINICIJA REGISTRACIONOG TELA OSNOVNE FUNKCIJE RA POLITIKA SERTIFIKACIJE PRAKTINA PRAVILA RADA SISTEMI ZA DISTRIBUCIJU SERTIFIKATA PKI APLIKACIJE ZAKLJUAK KORIENA LITERATURA

INFRASTRUKTURA SISTEMA SA JAVNIM KLJUEVIMA

bazina ili core tehnologija PKI-a (Public Key Infrastructure) jeste public key criptography (PKC) privatni klju (private key) i javni klju (public key) sertifikaciono telo CA centralna komponenta PKI digitalni sertifikat - predefinisani set identifikujuih informacija o nekoj osobi ili entitetu, koji je verifikovan od strane CA PKC dobro implementiran, obezbeuje poverljivost, integritet i autentikaciju

OSNOVNE FUNKCIJE PKIa

generisanje sertifikata, ukljuuje kreiranje sertifikata i liste povuenih sertifikata (CRL) distribuciju sertifikata, ukljuuje skladite sertifikata, ili direktorijum. Tu su smeteni svi javni kljuevi sertifikata, CRL-ovi i sertifikati CA. upravljanje sertifikatima i kljuevima, moe ukljuivati i servise kao to su bekapi kljueva i njihov povraaj, podrku za automatske apdejte za parove kljueva i sertifikate, istoriju upravljanja parovima kljueva i kros-sertifikaciju.

Osnovni cilj PKI je da obezbedi jednu vezu poverenja meu entitetima koji komuniciraju u isto elektronskom okruenju.

OSNOVNE KOMPONENTE PKI SISTEMA

sertifikaciono telo CA registraciono telo RA politika sertifikacije praktina pravila rada sistemi za distribuciju sertifikata PKI aplikacije

DEFINICIJA SERTIFIKACIONOG TELA

Sertifikaciono telo je trea strana od poverenja koja izdaje digitalne sertifikate i validira identitet vlasnika digitalnog sertifikata

Sertifikaciono telo (CA) je logiki entitet koji generie sertifikate pokrivajui geografsko podruije ili organizaciju, to zahteva infrastrukturu sa javnim kljuevima (PKI). Sertifikat je potpisan od strane CA, to garantuje identitet vlasnika sertifikata. CA ima odgovornost da verifikuje identitet korisnika i da izdaje, upravlja i povlai sertifikate.

GENERIKI MODEL REALIZACIJE CA

Generiki model realizacije CA ima sledee osobine:

Realizovan je u skladu sa vaeim svetskim standardima Primenjen je x.509 v3 standard za sertifikate Primenjen je x.509 v2 standard za liste opozvanih sertifikata Primenjene su najnovije verzije PKCS standarda Modularna realizacija Fleksibilnost-prilagodljivost potrebama korisnika Bezbedan sistem primena najnovijih rezlutata iz oblasti generisanja kriptografskih kljueva i primene kriptografskih algoritama

GENERIKI MODEL CA Root CA Intermediate CA Intermediate CA Intermediate CA Intermediate CA Intermediate CA Intermediate CA

GENERIKI MODEL CA

Offline deo CA Online deo CA Procedura CA ceremonije Realne realizacije sistema CA manje ili vie razlikuju u domenima naina generisanja kljueva za korisnike, nainu distibucije kljueva i sertifikata, kao i u nainu publikacije CRL liste

I pored razlika osnovni principi i koncepti savremenih CA se poklapaju sa generikim modelom CA

DEFINICIJA REGISTRACIONOG TELA

Registraciono Telo RA (Registration Authority) predstavlja interfejs izmeu korisnika i CA Registraciono telo igra ulogu rutera izmeu Operatora Registracionog Tela i Sertifikacionog Tela. RA prihvata zahteve za izdavanjem sertifikata, proverava identitet korisnika i prosleuje zahteve u odreenom formatu ka CA Registraciono Telo moe imati svoju sopstvenu politiku rada, ali ona mora biti u skladu sa sertifikacionom politikom i praktinim pravilima rada Kvalitet naina provere identiteta podnosioca zahteva odreuje nivo poverenja koji se ugrauje u zahtev

OSNOVNE FUNKCIJE RA

prosleuje zahteve za izdavanjem ili povlaenjem sertifikata od RAO do CA, ali i dobija potvrdne poruke i sertifikate od CA i dostavlja ih do RAO potvrda identiteta osobe ili entiteta za koga treba da prosledi zahtev za sertifikatom do CA digitalno potpisivanje poruka verifikacija poruka ifrovanje podataka arhiviranje podataka

POLITIKA SERTIFIKACIJE

Politika sertifikacije treba da propie sve procedure koje se odnose na korienje i izdavanje sertifkata.
o o o o

pod kojim uslovima se izdaju sertifikati koje informacije treba da budu ukljuene u serifikat za koju svrhu e se koristiti dati sertifikat ta se deava kada istekne vanost sertifikata

PRAKTINA PRAVILA RADA

definiu nain na koji sertifikaciono telo ispunjava tehnike, organizacione i proceduralne zahteve poslovanja koji su identifikovani u Politici sertifikacije razlika politike sertifikacije i praktinih pravila rada je prema svrsi dokumenata, nivou specifikacije i razliitim pristupima dokumenata

SISTEMI ZA DISTRIBUCIJU SERTIFIKATA

Specifini zahtevi distribucije kljueva i sertifikata zavise od nekoliko faktora koji ukljuuju:

gde je generisan klju; namenu sertifikata; i bilo koje druge faktore kao to su operativni i/ili ogranienja politike;

out-of-band distribucija (neelektronske tehnike kao to je fizika isporuka); in-of-band distribucija, na primer ukljuuje primenljivu verifikaciju sertifikata sa sigurnosnom email porukom (S/MIME); objavljivanje sertifikata na javnom direktorijumu da bi se obezbedilo on-demand/online preuzimanje;

PKI APLIKACIJE

itav PKI sistem se kreira da podri rad veeg broja aplikacija u kojima se koriste digitalni sertifikati i tehnologija digitalnog potpisa, kao to su:

zatita WEB transakcija, zatita e-mail servisa, VPN virtuelne privatne mree, bezbedno upravljanje elektronskom dokumentacijom, kontrola radnog vremena i pristupa odreenim prostorijama, ... bezbedna plaanja putem Interneta

ZAKLJUAK

Infrastruktura sistema sa javnim kljuevima je postala centralna komponenta arhitekture sistema zatite mnogih preduzea. PKI obezbeuje centralnu taku za mnoge aspekte sigurnog upravljanja. Veina standardnih protokola za sigurnosni email, Web pristup, virtuelne privatne mree i pojedinane autentikacije korisnika zahtevaju korienje sertifikata i javnih kljueva, a samim tim i odreenih formi infrastrukture sistema sa javnim kljuevima.

KORIENA LITERATURA:

www.pkisistem.com www.sertifikacionotelopote.com www.pksca.com www.generickimodelca.com