Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Infrastruktura klucza publicznego i podpisy...

Infrastruktura klucza publicznego i podpisy elektroniczne

<span class="sub3">Baltimore UniCERT 3.0.5</span>

UniCERT jest produktem opracowanym przez Baltimore Technologies i funkcjonuje jako CA w systemie PKI, zapewniając wysoki poziom ochrony dla systemów ochrony stosowanych w e-commerce i systemach przedsiębiorstw. Stosując certyfikaty zgodne z X.509v3, UniCERT zapewnia zarządzanie kluczami, uwierzytelnianie i możliwość niezaprzeczalności dla takich usług jak bezpieczna poczta, handel internetowy, bankowość internetowa i VPN.

Infrastruktura klucza publicznego i podpisy elektroniczne

Edytor PKI

System ma budowę modułową pozwalającą na dołączanie nowych i modyfikowanie lub usuwanie poszczególnych komponentów - w zależności od potrzeb. Komponenty mogą pracować na tej samej maszynie lub, w razie konieczności zwiększenia wydajności systemu, na maszynach oddzielnych. Wszystkie moduły komunikują się przez bazę danych Oracle lub chronione połączenia TCP/IP.

Podstawowe moduły UniCERT to:

  • Cetificate Authority (CA) - podpisuje i publikuje certyfikaty oraz listy certyfikatów odwołanych (CRL). Moduł pracuje w oparciu o własne reguły kontrolowane przez Certification Authority Operator (CAO).

  • Certification Authority Operator (CAO) - moduł pełni rolę inspektora ochrony (Security Officer) dla PKI. Kontroluje wszystkie funkcje administracyjne i gwarantuje uprawnienia do innych modułów UniCERT oraz operatorów.

  • Registration Authority (RA) - funkcjonuje w charakterze routera pomiędzy Registration Authority Operators (RAO), Gateway i CA. RA dzielą system PKI na domeny operacyjne. Każda taka domena jest oddzielną strukturą przyłączoną do CA.

  • Registration Authority Operator (RAO) - przyjmuje zlecenia certyfikacji dla CA. Każdy RAO ma prawa do wydawania certyfikatów zgodnie z regułami polityki określanymi przez CAO.

  • Gateway - UniCERT Gateway składa się z trzech odmiennych i oddzielnych części: Web Gateway, E-mail Gateway i VPN Gateway. Te części mogą rezydować na tej samej maszynie i działać jako jeden zintegrowany moduł. Funkcją bram jest odbieranie zdalnych zleceń (z przeglądarek webowych, drogą poczty elektronicznej lub z urządzeń VPN) i zwracanie certyfikatów oraz wiadomości informacyjnych. Do systemu można dołączyć opcjonalne komponenty sprzedawane oddzielnie, są to: Archive Server - przeznaczony do przechowywania prywatnych kluczy szyfrowania, WebRAO - moduł przyjmowania zleceń certyfikacji z przeglądarki webowej oraz WebRA Server, spełniający rolę kanału informacyjnego pomiędzy RA i wszystkimi WebRAO.

    Do zainstalowania UniCert niezbędne jest nabycie Oracle 7.34 lub 8, z odpowiednią liczbą licencji klienckich (dla każdego CAO i RAO).

    Cetificate Authority. Po zainstalowaniu, w procesie konfigurowania generowana jest para kluczy własnych CA i CAO i ustalane są profile CA. Profile te określają poszczególne nazwy, rozmiary par kluczy i algorytmy, użytkowanie par kluczy, certyfikaty, CRL i operacje katalogu.

    Plik Personal Secure Enviroment (PSE) zawiera certyfikaty i informacje o kluczach. PSE może być przechowywany na dysku. Generotor par kluczy umieszcza w PSE zarówno parę kluczy, jak i ich certyfikat. Plik PSE może być podzielony na szereg komponentów i chroniony przez więcej niż jedną frazę hasłową użytkownika. W ten sposób odpowiedzialność za tworzenie lub uruchamianie CA jest rozdzielona pomiędzy dwóch lub więcej zaufanych funkcjonariuszy ochrony. Jedna osoba nie może załadować PSE, jeżeli zna tylko własną frazę hasła, a PSE został zachowany w postaci komponentów chronionych przez różne frazy hasła. UniCERT zarządzany jest poręcznym, graficznym utility Windows - PKI Editor - który umożliwia praktyczne wykreślenie struktury PKI na ekranie.

    Definiowanie reguł polityki. Po zdefiniowaniu niezbędnych certyfikatów i podstawowych par kluczy definiuje się reguły polityki. Jest to zestaw niezbędnych kryteriów, ustalanych, zanim CA zacznie generować certyfikaty dla użytkowników. Określeni użytkownicy mogą wymagać niezależnych reguł polityki definiujących ich uprawnienia dostępu i odnośnie certyfikacji. Policy Editor umożliwia definiowanie reguł rozszerzeń i dodatkowych pól, które pojawią się w certyfikatach.

    Registration Authority. RA dział w charakterze routera przekazującego zlecenia z RA Operator do CA, a także zlecenia z weba, poczty elektronicznej i VPN z UniCERT Gateway do CA. W kierunku przeciwnym wysyłane są do Gateway odpowiedzi, przekazywane następnie do zdalnych użytkowników. RA Operator jest z kolei interfejsem, przez który otrzymywane są i przetwarzane zlecenia certyfikacji. Zlecenia te mogą być dostarczane pocztą elektroniczną, webem lub osobiście. RA Operator przetwarza te zlecenia i wykonuje wszystkie niezbędne kroki dla zapewnienia, że informacje

    i referencje przewidziane dla zlecającego są zgodnie z CPS (Certificate Practice Statement). Z momentem stwierdzenia ważności zlecenie może być zaakceptowane i zgodnie z planem zapisane w bazie danych RA przed przekazaniem do podpisu przez CA. Jeżeli referencje nie są wystarczające, RAO może odrzucić zlecenie bez dalszego przetwarzania.

    Audyt i raporty. Wszystkie zdarzenia związane z certyfikacją mogą być filtrowane z głównego utility CAO według rangi zdarzenia, łańcuchów znakowych i przedziału czasowego.

    Klient. Ponieważ UniCERT został zaprojektowany jako produkt otwarty, nie zawiera specyficznych elementów po stronie klienta, zdając się całkowicie na model standardowej przeglądarki lub na rozwiązania niezależnych dostawców, spełniające wymagania PKI.

    •

    TOP 200

    Computerworld

    Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

    Tematy

    Serwisy IDG

    Znajdź nas:   

    W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    Zamów reklamę

    (+48) 662 287 830
    Napisz do nas