1 / 14

Sertifikati

Sertifikati. Prof. dr Mladen Veinovi ć, dipl.ing. Rad sa javnim ključevima. Uloge Alisa i Bob: učesnici u komunikaciji Trudi: napadač Da bi Alice i Bob komunicirali moraju da objave svoj javni ključ na svojim Web lokacijama Alice traži Bobov javni ključ Upisuje Bobov URL

rhonda
Download Presentation

Sertifikati

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sertifikati Prof. dr Mladen Veinović, dipl.ing.

  2. Rad sa javnim ključevima • Uloge • Alisa i Bob: učesnici u komunikaciji • Trudi: napadač • Da bi Alice i Bob komunicirali moraju da objave svoj javni ključ na svojim Web lokacijama • Alice traži Bobov javni ključ • Upisuje Bobov URL • Web čitač traži DNS adresu Bobove matične strane • Na pronađenu matičnu stranu šalje zahtev GET

  3. Rad sa javnim ključevima • Trudi presreće zahtev • Šalje Alisi lažnu Web stranu • Ta strana je kopija Bobove strane • Bobov ključ je zamenjen sa Trudinim javnim ključem • Alisa • Šifruje poruku za Boba Trudinim javnim ključem • Trudi • Dešifruje poruku i čita je • Otvorenu poruku šifruje javnim ključem Boba i tek sada mu je šalje

  4. Rad sa javnim ključevima Zahtev GET za dobijanje Bobove matične strane Alisa Trudi Bob Lažna matična strana sa JKT Šifrovana poruka sa JKB Šifrovana poruka sa JKT

  5. Centar za distribuciju JK • Scenario za rad centra • Treba da radi 24 časa • Šalje javne ključeve na zahtev • Predstavljao bi usko grlo na Internetu • Kvar ovakvog centra bi bio katastrofalan • Ovlašćena organizacija za izdavanje sertifikata (Certification Authority) • Ne mora da bude na mreži • Izdaje sertifikate korisnicima (npr. na disketi, CD-u, ...) • Potpisuje sertifikat nakon heširanja svojim JK • Naplaćuje svoje usluge

  6. Sertifikat Potvrdjujem da javni ključ 123A9BC0267FF7654DAB88231FE100BC4E6D7E987654EEE33... pripada Marko Marković Danijelova 32, Beograd Br. LK. 1237795 Izdata od MUP Beograd Rođen 08.09.1980. godine Email: mmarkovic@singidnum.ac.yu HASH vrednost gornje potvrde šifrovana sa JK sertifikacionog (CA) tela

  7. CA • Osnovni zadatak sertifikata: • Povezuje JK sa imenom principala (pojedinac, preduzeće, univerzitet itd.) • Sertifikati nisu tajni • Npr. Bob može da na svojoj matičnoj strani napravi hipervezu ka svom sertifikatu • Šta može Trudi: • Može da zameni Bobov sertifikat sa svojim – Alisi je jasno da ne razgovara sa Bobom • Može da zameni samo svoj JK – Alisi je jasno da nije dobar potpis

  8. X.509 • X.509 ver3: Standardni sertifikat, odobren od strane ITU • Verzija Verzija standarda X.509 • Serijski broj Uz ime CA jedinst. identifikuje sertifikat • Algoritam potpisivanja Koji je algoritam • Davalac sertifikata Ime CA po X.500 • Period važenja Početak i kraj • Ime korisnika sertif. Korisnik za čiji ključ se garantuje • Javni ključ • Identifikator davaoca s. Neobavezno • Identifikator korisnika s. Neobavezno • Proširenja • Potpis Urađen sa privatnim ključem CA

  9. PKI • PKI – Public Key Infrastructure(Infrastruktura sistema sa javnim ključevima) • PKI infrastruktura se sastoji od: • Korisnici, • Ovlašćene CA organizacije • Sertifikati, • Katalozi, • Liste povučenih sertifikata

  10. CA • Hijerarhijska organizacija • Niži nivo je sertifikovan od strane višeg nivoa • Može biti više podnivoa Ovlašćenje za RA2 Njen javni ključ Potpis vrhovnog CA Vrhovni CA RA1 RA2 CA1 CA2 CA3 CA4 CA5

  11. CA • Kada Bob šalje svoj sertifikat ka Alisi, šalje i sve druge sertifikate • Alisa ne mora da stupa u vezu ni sa kim (nikog ne opterećuje) da bi izvršila proveru sertifikata • Uzastopno sertifikovanje do najvišeg nivoa • Lanac poverenja (chain of trust) • Hijerarhijski niz sertifikata (certification path) • Gde je vrhovni CA? • Na primer, fabrički je ugrađen u Web čitač • Savremeni Web čitači se isporučuju sa više stotina vrhovnih CA - pouzdana polazišta (trust anchors) • Korisnik odbacuje sertifikate u koje nema poverenja

  12. Katalozi • Gde se smeštaju sertifikati • Kod korisnika – nije pogodno • Na DNS serveru • Kada se traži IP adresa mogao bi se slati i ceo lanac poverenja • Na namenskim serverima kataloga

  13. Povlačenje sertifikata • Povlačenje sertifikata • Zbog isteka roka važenja • Zloupotrebe • Dekonspiracija privatnog ključa ili privatnog ključa CA • Lista povučenih sertifikata (Certificate Revocation List – CRL) • CRL lista je potpisani dokumenat • Veličina CRL liste je u direktnoj vezi sa vremenom važenja sertifikata

  14. DISCUSSION QUESTIONS?

More Related