Анотація: Розглядаються додаткові сервіси PKI, наводиться характеристика сервісів захищеного зв'язку, захищеного датування нотарізаціі, неспростовності, захищеного архіву даних, управління повноваженнями, приватності; обговорюються механізми, необхідні для сервісів, які базуються на PKI, і умови функціонування цих сервісів.
Сервіси, що базуються на PKI
У попередньому розділі обговорювалися основні послуги безпеки, пропоновані PKI. аутентифікація. цілісність і конфіденційність. Справжня глава присвячена сервісів, які не є фундаментальними сервісами будь PKI. але можуть бути побудовані на базі PKI. До додаткових, що базуються на PKI сервісів відносяться:
- захищена зв'язок;
- захищене датування;
- нотарізація;
- неспростовності;
- захищений архів даних;
- управління повноваженнями;
- приватність [44].
захищена зв'язок
При передачі даних від відправника до одержувача забезпечується захищена зв'язок. якщо дотримується одне або більше вимог безпеки: автентичність. цілісність і конфіденційність. Сервіс захищеного зв'язку будується на основі головних сервісів PKI в комплексі з традиційними мережевими і комунікаційними протоколами. Як приклади захищеного зв'язку можна навести:
- захищену електронну пошту, яка використовує протоколи S / MIME v2 [169] і S / MIME v3 [158]. [159];
- захищений доступ до web-серверу на базі протоколу TLS [142];
- захищену віртуальну приватну мережу, що використовує протоколи IPSec [143] і IKE [147].
Захищене проставлення міток часу
Захищене датування, або проставлення міток часу, полягає в зв'язуванні довіреною центром датування мітки часу з певною "порцією" даних при збереженні їх автентичності та цілісності. Причому, важливим є не стільки саме значення часу, скільки захищеність зв'язування даних з певним часом (датою). Зокрема, в деяких додатках буває важливо зафіксувати час здійснення події, а послідовність подій, наприклад, надходження в довірений центр даного документа Y перед документом Z. але після документа X.
Довірений центр датування не є строго необхідним компонентом цього сервісу. Будь-який суб'єкт може підтримувати надійне час в своїй локальному середовищі і в разі необхідності пов'язувати мітки часу зі своїми власними даними. На практиці, однак, важко підтримувати надійне час для локальних середовищ (наприклад, настільних систем) багатьох користувачів, тому вдаються до допомоги довірених центрів датування. які обробляють запити суб'єктів на проставлення міток часу.
Захищений сервіс датування базується на головних сервісах PKI. аутентифікації і цілісності. Мітка часу на документі утворюється в результаті підписання цифровим чином комбінації хеш-коду самого документа і значення часу в деякому форматі. Підпис довіреної центру датування забезпечує автентичність і цілісність даних. Для того щоб ця схема працювала, всі суб'єкти PKI повинні знати і довіряти відкритому ключу підпису центру датування, за допомогою якого можна перевірити підпис на мітці часу. Якщо такий ключ стає ненадійним (наприклад, в результаті компрометації секретного ключа підпису центру датування), необхідно, щоб всі суб'єкти PKI були проінформовані про це, і для центру датування був випущений новий надійний ключ. Всі мітки часу. завірені ненадійним ключем, не слід вважати валідними.
Ключовим моментом підтримки сервісу неспростовності є захищене проставлення міток часу. яке характеризується надійністю джерела часу і захищеністю передачі значення часу. У PKI повинен існувати надійне джерело часу, якому довіряють всі суб'єкти. Функції надійного джерела часу виконує захищений сервер проставлення міток часу. сертифікат якого може бути перевірений будь-яким суб'єктом PKI. Цей сервер може використовуватися не тільки для підтримки сервісу неспростовності, але і в інших випадках, коли необхідно надійне датування.
Нотарізація
Існують різні трактування терміна нотарізація. але в даному контексті вважається, що базується на PKI сервіс нотарізаціі призначений для сертифікації даних, тобто підтвердження їх валідності або коректності. Висновок про коректність даних залежить від їх типу, наприклад, якщо дані, що підлягають сертифікації, є цифровим підписом, то нотарізація підтверджує валідність підпису при виконанні наступних умов:
- математичної коректності результату верифікації підпису за допомогою відповідного відкритого ключа;
- правильного зв'язування відкритого ключа підпису з суб'єктом, який підписує дане значення;
- доступності та надійності всіх інших даних, необхідних для процесу валідації (наприклад, додаткових сертифікатів для формування повного шляху).
Нотаріус PKI - це суб'єкт, якому певна спільнота інших суб'єктів PKI довіряє виконувати належним чином сервіс нотарізаціі. Він підтверджує коректність даних своїм цифровим підписом, тому іншим суб'єктам PKI для верифікації підпису необхідна довірена копія відкритого ключа нотаріуса. Сервіс нотарізаціі базується на головному сервісі PKI - аутентифікації, а також використовує сервіс датування, так як час нотарізаціі включається в структуру сертифікації даних.