Księgarnia PWN: Carlisle Adams, Steve Lloyd - PKI. Podstawy i zasady działania. Słowo wstępne... 15

Transkrypt

1 Księgarnia PWN: Carlisle Adams, Steve Lloyd - PKI. Podstawy i zasady działania Spis treści Słowo wstępne Przedmowa Uzasadnienie dla PKI...18 Zmiany w drugim wydaniu książki Odbiorcy Układ książki Część I. Koncepcje Część II. Standardy Część III. Uwagi dotyczące wdrażania O autorach Część I. Koncepcje Rozdział 1. Wprowadzenie Rozdział 2. Kryptografia klucza publicznego Szyfry symetryczne i asymetryczne Tajny klucz Konieczność wymiany tajnych kluczy Trudności w komunikowaniu się nieznanych jednostek Kłopoty z liczbą kluczy Architektury symetrycznego serwera centralnego Nowe kierunki: klucz publiczny Para kluczy publiczny/prywatny Usługi kryptografii klucza publicznego Bezpieczeństwo komunikacji pomiędzy nieznajomymi Szyfrowanie...40 Podpis cyfrowy Integralność danych Ustanowienie klucza Inne usługi Algorytmy RSA DSA DH... 44

2 4 Zrozumieć PKI ECDSA oraz ECDH SHA Dalsze prace...46 Podsumowanie Rozdział 3. Koncepcja infrastruktury Wszechobecny czynnik Umożliwienie działania aplikacjom Bezpieczna rejestracja Bezpieczne pojedyncze zgłoszenie (SSO) Szeroki zakres bezpieczeństwa Korzyści biznesowe...55 Definiowanie infrastruktury klucza publicznego Urząd certyfikacyjny Repozytorium certyfikatów Unieważnianie certyfikatu Kopie zapasowe i odzyskiwanie kluczy Automatyczne uaktualnianie kluczy Historia kluczy Certyfikacja wzajemna Obsługa niezaprzeczalności Znaczniki czasu Oprogramowanie klienta Podsumowanie Rozdział 4. Podstawowe usługi PKI: uwierzytelnienie, integralność i poufność Definicje Uwierzytelnienie Identyfikacja jednostki: lokalna a zdalna Identyfikacja jednostki: jednoczynnikowa, a wieloczynnikowa Uwierzytelnianie jako usługa PKI Integralność Poufność Mechanizmy Uwierzytelnienie Integralność Poufność Warunki działania Wydajność...74 Działania online a działania offline Powszechność stosowanych algorytmów Nazywanie jednostek Podsumowanie Rozdział 5. Usługi umożliwiane przez PKI Bezpieczna komunikacja Bezpieczny znacznik czasu... 78

3 Spis treści 5 Potwierdzenie notarialne Niezaprzeczalność Powiązanie z innymi usługami Potrzeba bezpiecznej archiwizacji danych Złożoność niezaprzeczalności Czynnik ludzki Zarządzanie uprawnieniami Uwierzytelnienie i autoryzacja Urzędy autoryzacyjne Delegowanie Powiązanie z PKI Prywatność Mechanizmy wymagane do tworzenia usług obsługiwanych przez PKI Podpisy cyfrowe, skróty, kody MAC i szyfry Zaufane źródła czasu Mechanizm tworzenia reguł nadawania uprawnień Maszyny przetwarzające reguły nadawania uprawnień Mechanizmy infrastruktury zarządzania uprawnieniami Architektura prywatności Względy operacyjne...89 Mechanizm dostarczania zaufanego czasu Bezpieczne protokoły Nadmiarowość serwerów Fizyczne zabezpieczanie archiwów Certyfikaty zachowujące prywatność i przypisywanie tożsamości Rzeczywiste rozwiązania Kompletna infrastruktura PKI oraz codzienna praktyka Podsumowanie Rozdział 6. Certyfikaty i certyfikacja Certyfikaty Certyfikat cyfrowy Struktura i semantyka certyfikatu Alternatywne formaty certyfikatów SPKI PGP SET Certyfikaty atrybutów Reguły certyfikatów Identyfikatory obiektów Urzędy określające reguły Urzędy certyfikacyjne Urząd rejestracyjny Podsumowanie Rozdział 7. Zarządzanie kluczami i certyfikatami Zarządzanie cyklem życia klucza/certyfikatu

4 6 Zrozumieć PKI Faza inicjowania Rejestracja jednostki końcowej Generowanie pary kluczy Tworzenie certyfikatu i dystrybucja kluczy/certyfikatów Rozpowszechnianie certyfikatów Kopie zapasowe kluczy Faza wydania Pobieranie certyfikatu Zatwierdzanie certyfikatu Odzyskiwanie kluczy Aktualizacja kluczy Faza kasowania Termin ważności certyfikatu Unieważnienie certyfikatu Historia klucza Archiwum kluczy Podsumowanie Rozdział 8. Unieważnianie certyfikatów Mechanizmy okresowego publikowania Listy unieważnień certyfikatów (CRL) Rozszerzenia dotyczące poszczególnych pozycji Rozszerzenia dotyczące całego CRL Rozszerzenia prywatne Kompletne CRL Listy unieważnionych certyfikatów urzędów certyfikacji (CARL) Lista unieważnionych certyfikatów klucza publicznego jednostek końcowych (EPRL) Punkty dystrybucji CRL Listy przekierowania CRL Listy Delta CRL i pośrednia Delta CRL Pośrednie listy CRL Drzewa unieważnień certyfikatów (CTR) Mechanizm zapytań online Protokół OCSP Ograniczenia OCSP Protokół SCVP Inne opcje dotyczące unieważnień Wydajność, skalowalność i aktualność Podsumowanie Rozdział 9. Modele zaufania Ścisła hierarchia urzędów certyfikacji Luźna hierarchia urzędów certyfikacji Hierarchie oparte na regułach Rozproszona architektura zaufania Konfiguracja siatki

5 Spis treści 7 Konfiguracja typu Hub and Spoke Czworokątny model zaufania Model sieci Zaufanie oparte na użytkowniku Certyfikacja wzajemna Nazywanie jednostek Przetwarzanie ścieżki certyfikatu Budowa ścieżki Zatwierdzanie ścieżki Uwagi na temat kotwicy zaufania Podsumowanie Rozdział 10. Wiele certyfikatów na jednostkę Wiele par kluczy Użytkowanie pary kluczy Związek między parą kluczy a certyfikatem Rzeczywiste trudności Niezależne zarządzanie certyfikatami Obsługa niezaprzeczalności Podsumowanie Rozdział 11. Rozpowszechnianie informacji w PKI: repozytoria i inne techniki Rozpowszechnianie prywatne Publikowanie i repozytoria Lokalizacja repozytoriów Kompromisy Opcje i problemy związane z repozytoriami międzydomenowymi Dostęp bezpośredni Repozytorium graniczne Repozytoria współdzielone Replikacja międzydomenowa Protokół wymiany wewnętrznej Podsumowanie Rozdział 12. Działanie PKI Oprogramowanie po stronie klienta Działania offline Bezpieczeństwo fizyczne Komponenty sprzętowe Ujawnienie klucza użytkownika Przygotowanie do katastrofy i przywrócenie działania Powiadomienie podmiotów zależnych Przygotowanie Przywrócenie działania Dodatkowe uwagi Podsumowanie

6 8 Zrozumieć PKI Rozdział 13. Prawa związane z podpisem elektronicznym Przepisy prawne związane z podpisem elektronicznym E Sign Podpisy cyfrowe w szerszym kontekście Dyrektywa Unii Europejskiej dotycząca podpisu cyfrowego Znaczące inicjatywy związane z podpisem elektronicznym Prawne uwarunkowania PKI Wymagania dotyczące CA Role i odpowiedzialność Odpowiedzialność subskrybenta Odpowiedzialność CA Odpowiedzialność stron polegających na certyfikacie Prywatne PKI firmowe Inne ustalenia kontraktowe Poufność Podsumowanie Rozdział 14. PKI w praktyce Co robi PKI Czego PKI nie robi Wartość PKI Spotkanie ludzi i certyfikatów Scenariusz poczty elektronicznej Scenariusz sieci Podsumowanie Rozdział 15. Przyszłość PKI Co się stało? Jak zmienia się świat Uznany urząd (władza) mający autorytet Motywacja Użytkownicy Powody do ostrożnego optymizmu Podsumowanie Rozdział 16. Wnioski i zalecane lektury Wnioski Zalecane lektury Część II. Standardy Rozdział 17. Wprowadzenie Rozdział 18. Główne działania standaryzacyjne X PKIX X

7 Spis treści 9 LDAP ISO TC ANSI X9F S/MIME IPsec TLS SPKI OpenPGP EDIFACT IEEE WAP Działania oparte na XML Inne działania U.S. FPKI MISPC GOC PKI SET SEMPER ECOM JCP ICE CAR Podsumowanie Rozdział 19. Stan standaryzacji i dalsze perspektywy Bieżący stan standaryzacji X PKIX X LDAP S/MIME IPsec TLS Wymagania dotyczące zestawu narzędzi (interfejsy API i mechanizmy) Inne Trwające prace standaryzacyjne Podsumowanie Rozdział 20. Standardy potrzebne, lecz niewystarczające Znaczenie standardów, profilu i testowania współdziałania Testowanie profili i współdziałania Inicjatywy dotyczące współpracy Automotive Network exchange Przykład mostu CA Federalna infrastruktura PKI Specyfikacja minimum współdziałania National Automated Clearing House Association PKI X

8 10 Zrozumieć PKI Próbna koncepcja SIRCA Wyzwanie dla PKI projekt EEMA Podsumowanie Rozdział 21. Wnioski i zalecane lektury Wnioski Zalecane lektury Składnia certyfikatów i list CRL oraz protokoły zarządzania cyklem ich życia Przechowywanie i wyszukiwanie certyfikatów i list CRL Inicjatywy oparte na XML Inicjatywy dotyczące współpracy Witryny organizacji standaryzujących Książki Część III. Uwagi dotyczące wdrożeń Rozdział 22. Wprowadzenie Rozdział 23. Korzyści z infrastruktury PKI i jej koszty Rozważania dotyczące DQDOL]\RSáDFDOQRFLinwestycji Rozważania dotyczące kosztów Wdrożenie: teraz czy później? Podsumowanie Rozdział 24. Kwestie związane z wdrożeniem i podejmowanie decyzji Modele zaufania: hierarchiczny kontra rozproszony Insourcing kontra outsourcing Tworzenie kontra zakup Środowisko zamknięte kontra otwarte X.509 kontra alternatywne formaty certyfikatów Aplikacje ukierunkowane kontra rozwiązania wszechstronne Rozwiązania standardowe kontra firmowe Kwestie dotyczące współdziałania Profile certyfikatów i list CRL Wiele standardów akceptowanych w zastosowaniach biznesowych Aplikacje z możliwością współpracy z PKI Kontrola reguł/biznesu Działanie online kontra działanie offline Obsługa urządzeń peryferyjnych Wymagania dotyczące lokalizacji Wymagania dotyczące personelu Unieważnienie certyfikatu Roaming jednostek końcowych Odzyskiwanie klucza Kwestie związane z repozytorium Przewidywanie katastrof i powrót do pracy po ich wystąpieniu Zapewnienie bezpieczeństwa

9 Spis treści 11 Łagodzenie ryzyka Podsumowanie Rozdział 25. Bariery wdrażania PKI Problemy dotyczące repozytoriów Brak standardu zaakceptowanego przez branżę Współdziałanie wielu dostawców Skalowalność i wydajność Wykwalifikowany personel Aplikacje z obsługą infrastruktury PKI Akceptacja na poziomie korporacji Podsumowanie Rozdział 26. Typowe modele biznesowe Biznesowy model komunikacji wewnętrznej Biznesowy model komunikacji zewnętrznej Komunikacja biznes biznes Komunikacja biznes klient Połączenia wewnętrznych i zewnętrznych modeli biznesowych Czynniki wpływające na model biznesowy Inicjatywy sponsorowane przez rząd Zaufanie międzydomenowe Identrus Pomostowe urzędy certyfikacji Sieć zaufania VeriSign GTE CyberTrust/Baltimore Technologies OmniRoot Inne sieci zaufania Podsumowanie Rozdział 27. Wnioski i zalecane lektury Wnioski Sugestie dotyczące dalszych lektur Bibliografia Skorowidz