Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• генерацию ЭЦП (проверку ЭЦП) ПС;
• управление ключевой системой;
• защиту от НСД.
Работы по встраиванию СКЗИ и обеспечению надлежащего уровня защиты системы требуют доработок ее прикладной части. В первую очередь доработке подлежат части системы, ответственные за принятие решения о соответствии ЭЦП под документом ЭЦП абонента-отправителя, система оповещения о компрометации ключей абонента, интерфейсы взаимодействия между компонентами системы.
3.7.2. Средства защиты электронной почты Почта Privacy-Enhanced Mail
Почта с повышенной секретностью (Privacy-Enhanced Mail, РЕМ) представляет собой стандарт Internet, одобренный Советом по архитектуре сети (Internet Architecture Board, IAB), для обеспечения безопасности электронной почты в Internet. Первоначальный вариант был создан группой секретности и безопасности (Privacy and Security Research Group, PSRG) Internet Resources Task Force (IRTF), а затем разработка была передана в рабочую группу РЕМ (РЕМ Working Group) при IETF. Протоколы РЕМ предназначены для шифрования, проверки подлинности и целостности сообщения и управления ключами.
РЕМ является расширяемым стандартом. Процедуры и протоколы РЕМ разработаны так, чтобы быть совместимыми со множеством подходов к управлению ключами, включая симметричную схему и использование открытых ключей для шифрования ключей шифрования данных.
Защита электронной почты
341
Симметричная криптография применяется для шифрования текста сообщений. Для контроля целостности сообщения используются криптографические способы хэширования. Другие документы поддерживают механизмы управления ключами с помощью сертификатов открытых ключей, алгоритмов, режимов и связанных идентификаторов, а также электронные подробности, инфраструктуру и процедуры управления ключами.
РЕМ поддерживает только определенные алгоритмы, но позволяет добавлять и алгоритмы более поздних версий. Сообщения шифруются алгоритмом DES в режиме CBC Проверка подлинности, обеспечиваемая средством проверки целостности сообщения (Message Integrity Check, MIC), использует MD2 или MD5. Симметричное управление ключами может применять либо DES, либо тройной DES с двумя ключами (так называемый режим EDE). Для управления ключами РЕМ также поддерживает сертификаты открытых ключей, используя RSA (длина ключа до 1024 бит) и стандарт Х.509 для структуры сертификатов.
РЕМ обеспечивает три сервиса повышения секретности: конфиденциальность, проверку подлинности и контроль целостности сообщений. К электронной постовой системе не предъявляется никаких специальных требований. РЕМ молсет быть встроена выборочно, в определенные узлы или у конкретных пользователей, при этом ее установка не влияет на работу остальной сети.
РЕМ раскрывается в следующих четырех документах:
• RFC 1421: часть I. Процедуры шифрования и проверки подлинности сообщений. В этом документе определяются процедуры шифрования и проверки подлинности сообщений, которые должны обеспечить функции почты с повышенной секретностью для передачи электронной почты в Internet;
• RFC 1422: часть II. Управление ключами с помощью сертификатов. В этом документе определяется архитектура и инфраструктура управления ключами, которые основаны на использовании сертификатов открытых ключей, предоставляющих информацию о ключах отправителям и получателям сообщений;
• RFC 1423: часть III. Алгоритмы, режимы и идентификаторы. Этот документ содержит определения, форматы, ссылки и цитаты для криптографических алгоритмов, режимов использования и связанных идентификаторов и параметров;
• RFC 1424: часть IV. Сертификация ключей и родственные функции. В этом документе описываются три типа функций, поддерживаемых РЕМ: сертификация ключей, хранение и CRL.
342 Компьютерная безопасность и практическое применение криптографии
Сертификаты
Сертификат РЕМ представляет собой надмножество Х.509, которое определяет процедуры и соглашения для инфраструктуры управления ключами, используемой с РЕМ, а в будущем и с другими протоколами (в том числе стеками TCP/IP и OSI).
Инфраструктура управления ключами использует общий корень для всей сертификации Internet. Центр регистрационной политики (Internet Policy Registration Authority, IPRA) определяет глобальную стратегию для всей иерархии. Ниже корня IPRA находятся центры сертификационной политики (Policy Certification Authorities, PCA), каждый из которых определяет и опубликовывает свою стратегию регистрации пользователей и организаций. Каждый PCA сертифицирован IPRA. Следом за PCA идут CA, сертифицирующие пользователей и управляющие организационными подразделениями (департаментами, офисами, дочерними компаниями). Первоначально предполагалось, что большинство пользователей будет регистрироваться в качестве членов организаций.
Как ожидается, ряд PCA обеспечит сертификацию пользователей, не входящих ни в одну организацию. Предполагается выделить один или несколько PCA для регистрации клиентов, желающих воспользоваться преимуществами секретности РЕМ и сохранить анонимность. Стратегия этих PCA позволит регистрировать пользователей, которые не хотят обнародовать конфиденциальные сведения.
