1 / 67

密碼學

密碼學. Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1). 前言. 公開金鑰基礎建設 (PKI) 技術目前已廣受重視,且已成為當前網際網路運作上的核心安全機制。 PKI 與非對稱性金鑰密碼學的概念非常接近,主要包括訊息摘要、數位簽章和加密服務。 要實現這些服務的首要條件是數位憑證技術。. 數位憑證. 金鑰交換或金鑰協議的問題也因此十分嚴重,事實上,也是在設計任何基於電腦密碼學解決方案中最困難的挑戰。在許多考慮之後,這個問題被一個革命性的構想──數位憑證所解決。. 數位憑證的概念.

huong
Download Presentation

密碼學

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 密碼學 Chapter 5 公開金鑰基礎建設Public Key Infrastructure (PKI) (Part 1)

  2. 前言 公開金鑰基礎建設 (PKI) 技術目前已廣受重視,且已成為當前網際網路運作上的核心安全機制。 PKI 與非對稱性金鑰密碼學的概念非常接近,主要包括訊息摘要、數位簽章和加密服務。 要實現這些服務的首要條件是數位憑證技術。

  3. 數位憑證 金鑰交換或金鑰協議的問題也因此十分嚴重,事實上,也是在設計任何基於電腦密碼學解決方案中最困難的挑戰。在許多考慮之後,這個問題被一個革命性的構想──數位憑證所解決。

  4. 數位憑證的概念 數位憑證是一個小型的電腦檔案 需要一個具有公信力的單位或組織來證明使用者與使用者數位憑證之間的關連

  5. 數位憑證 • 數位憑證建立了使用者及他的公開金鑰之間的關係 • 一個數位憑證 • 使用者名稱 • 公開金鑰 • 序號 • 其他資料 • 生效日期 • 有效日期 • ….

  6. 數位憑證實例

  7. 護照與數位憑證間的相似性

  8. 憑證管理中心 • 憑證管理中心(CA) • 一個憑證管理中心是可以發行數位憑證的信譽機構 • 憑證管理中心是一個有聲望的組織 • 郵局 • 財政機構 • 軟體公司 • 內政部憑證管理中心 MOICAhttp://moica.nat.gov.tw/ • 憑證管理中心具有公信力以發行數位憑證給想要在非對稱性金鑰密碼學應用中使用憑證的個人和組織

  9. 數位憑證的技術細節 1988年,國際電訊聯盟(ITU)提出X.509標準,定義了數位憑證的架構 目前此標準的版本是版本3,稱為X.509V3 網際網路工程任務推動小組(IETF),於1999年在X.509標準中發表RFC2459

  10. 數位憑證的內容 • 基本欄位 • X.509標準的版本1包含七個基本欄位 • 延伸或延伸屬性 • 版本2加入兩個欄位,版本3加入一個欄位 • 一般欄位 • 所有版本都有一個額外的欄位

  11. 數位憑證內容

  12. X.509版本1

  13. X.509版本2

  14. X.509版本3

  15. X.509版本3

  16. 數位憑證的建立 • 牽涉個體 • 主體(終端使用者) • 發行者(CA) • 註冊管理中心(RA),第三方可選用

  17. 註冊管理中心(RA) • 註冊管理中心是一個中介實體 • 介於終端使用者與發行者(CA)之間 • 協助CA的日常活動 • 註冊管理中心提供的服務 • 接受和驗證新使用者的註冊資訊 • 在終端使用者端產生金鑰 • 接受和批准金鑰備份和覆蓋的要求 • 接受和批准憑證廢止的要求

  18. 註冊管理中心(RA) 介於終端使用者與CA之間的RA可使CA成為隔離的實體,使CA比較不容易受到安全攻擊的影響 RA主要設置用來促進終端使用者與CA之間的互動 RA無法發行數位憑證,須由CA處理

  19. 三方關係圖

  20. 憑證建立步驟

  21. 金鑰產生 • 此動作開始於一個希望獲得憑證的主體(使用者/組織) • 有兩個不同的方法 • 主體產生自己的金鑰對 • RA代替主體產生一組金鑰對

  22. 主體產生自己的金鑰對

  23. RA代替主體產生一組金鑰對

  24. 註冊 • 此步驟只會在使用者自行產生金鑰對時會有需要 • 假如RA代替使用者產生金鑰對,則此步驟與會成為步驟1的一部分 • 使用者寄出公開金鑰、相關的註冊資訊和所有有關證明給RA • 憑證需求的格式已經標準化 • 憑證簽章要求(CSR, PKCS#10) • 證明可能由書面文件組成 • 身分證影本、護照影本

  25. 主體寄出公開金鑰何證明給RA

  26. 數位憑證要求

  27. CA所發憑證的接受

  28. 認證 • 註冊完成後,RA必須確認使用者的信用資訊 • 認證的兩個層面 • RA必須確認使用者的信用資訊 • 組織:檢查商業紀錄、歷史文件、信用資訊證明 • 個人:確認郵件位址、電子郵件帳號、電話號碼、護照、身分證 • 驗證使用者的確是以對應的公開金鑰獲得私密金鑰

  29. 私密金鑰的證明所有權 • RA命令使用者必須使用他的私密金鑰簽署憑證簽章要求 • RA可利用使用者的公開金鑰驗證簽章 • RA建立一個隨機數字來突檢 • RA利用使用者公開密金鑰加密一個數字讓使用者解密 • RA產生虛擬憑證並利用使用者的公開金鑰加密 • 使用者可解密取得明文憑證

  30. 憑證建立 • RA傳遞使用者的所有細節給CA • CA進行自己的驗證 (若有需要)並建立一數位憑證給使用者 • CA寄出憑證給使用者,並保留憑證的拷貝在自己的紀錄中 • 憑證目錄 • 憑證拷貝存放的位置 • 由CA維護的中央儲存位置 • 類似電話號碼目錄 • X.500標準是當前較受歡迎的選擇

  31. CA通知使用者憑證已經準備好可下載

  32. 憑證內容

  33. 憑證的不可讀取格式

  34. 憑證的肉眼可讀取格式

  35. 為什麼我們應該相信數位憑證? • CA會使用其私密金鑰簽署數位憑證 • 事實上,CA宣稱: • 我已藉由簽署這個憑證來擔保這個使用者擁有此特定公開金鑰,相信我!

  36. CA如何簽署數位憑證? CA已以其私密金鑰簽署憑證,因此先確證CA的簽章 使用CA的公開金鑰,並檢查是否可以正確地設計憑證 CA會對憑證進行數位簽章

  37. CA簽署一個憑證

  38. CA簽章在憑證中的建立

  39. CA簽章在憑證中的驗證

  40. 憑證階層和自我簽章數位憑證 憑證管理中心階層從根 CA 開始

  41. 使用者屬於不同的CA在相同的根CA下

  42. 根CA的憑證階層和驗證問題

  43. 自我簽章憑證

  44. 憑證的證明

  45. CA的交互憑證

  46. 憑證的廢止 • 什麼理由可以廢止數位憑證 • 該數位憑證的持有者回報,數位憑證中對應於公開金鑰的私密金鑰被破壞(例如被盜取) • CA 發現在發行憑證時發生錯誤 • 某憑證為該憑證持有者在職時所發行的,而該持有者將離開此工作

  47. 憑證廢止狀態機制

  48. 離線憑證廢止狀態檢查 • 憑證廢止清冊(CRL)是主要的離線數憑證狀態檢查方法 • 當希望知道是否應該相信憑證時,應該依序進行下列動作: • 憑證有效檢查 • 簽章檢查 • 憑證廢止檢查

  49. CRL的邏輯觀點

  50. 在驗證程序中,憑證生效和CRL的角色

More Related