[ Pobierz całość w formacie PDF ]
.Wskazówka: Omówienie protoko³u SET mo¿na znaleŸæ pod adresem www.m.astercard.c.om/shoponline/set/.Do bardziej szczegó³owych opisów prowadz¹³¹cza (links) na stronê http://trienadecet.m.kn.c.o.u.k/help/system/set/info.Szczegó³y na temat interfejsu CryptoAPI mo¿na znaleŸæpod adresem www.microsoft.com/security/tech/cryptoapi/.Na rysunku 1.6 przedstawiono elementy infrastruktury klucza publicznegoMicrosoftu.Infrastruktura zabezpieczeñ internetowych firmy Microsoft jest oparta nastandardach zabezpieczeñ z kluczem publicznym (public key security),obejmuj¹cych algorytm szyfrowania RSA (Rivest Shamir Adleman), formatcertyfikatów X.509 i standardy kryptografii z kluczem publicznym (Public KeyCryptography Standards — PKCS).Applications — Programy u¿ytkoweSmartcard interfaces — Interfejsy kart elektronicznychAuthenticode — Us³uga znakowania plików AuthenticodeNetwork APIs — Sieciowe interfejsy APIMessage Standards (PKCS) — Standardy komunikatów (PKCS)Certificate Management Services — Us³ugi zarz¹dzania certyfikatamiCrypto Services — Us³ugi kryptograficzneSecure channel — Kana³ bezpiecznyFile I/O — Wejœcie-Wyjœcie plikuRSA Base CSP — Us³ugodawca kryptograficzny korzystaj¹cy z algorytmu RSAHardware CSP — Sprzêtowy us³ugodawca kryptograficznyDevice driver — Sterownik urz¹dzeniaReader — CzytnikRysunek 1.6.Infrastruktura zabezpieczeñ z kluczem publicznym firmy MicrosoftWskazówka: Szczegó³owa analiza algorytmów szyfrowania RSA znajduje siê nastronach www.r.sasecurity.c.om/rsalabs/faq/2-1-4.h.tlm oraz www.r.sasecurity.c.om/rsalabs/faq/2-1-5.h.tlm.Informacje na temat PKCS dostêpnes¹ pod adresem www.r.sasecurity.c.om/rsalabs/pkcs/.Szczególn¹ uwagê nale¿yzwróciæ na PKCS #7 i PKCS #10.Strona laboratoriów RSA Security (www.r.sasecurity.c.om) powinna staæ siê ulubion¹ przez ka¿dego specjalistê odbezpieczeñstwa.W systemie Windows NT 4 znalaz³y siê pierwsze elementy pozwalaj¹ce nakorzystanie z zabezpieczeñ za pomoc¹ klucza publicznego (public key security),w sk³ad których wchodz¹:interfejs CryptoAPI, wspomagaj¹cy programistê w zakresie generowania i wymianykluczy, podpisów elektronicznych oraz szyfrowania danych, za pomoc¹architektury us³ugodawcy (provider) do obs³ugi instalowalnych us³ugodawcówkryptograficznych (Cryptographic Service Providers),obs³uga certyfikatów X.509 i standardów PKCS przez interfejs CryptoAPI,kana³ bezpieczny (secure channel), który jest implementacj¹ SSL2 lub SSL3 zobs³ug¹ czêœci klienta (client side support) oraz techniki PCT 1 (PrivateCommunications Technology) protoko³Ã³w zabezpieczeñ z kluczem publicznym (publickey security protocols),us³uga znakowania plików Authenticode, stosuj¹ca podpisy elektroniczne doweryfikowania spójnoœci oprogramowania pobranych poprzez Internet iidentyfikowania tego, kto udostêpni³ oprogramowanie.Infrastruktura zabezpieczeñ internetowych firmy Microsoft utworzona na baziewymienionych powy¿ej elementów zawiera tak¿e dodatkowe funkcje obs³uguj¹cezabezpieczenia z kluczem publicznym (public key security) dla systemów Windows,z systemem Windows 2000 w³¹cznie.Internet Explorer oraz IIS korzystaj¹ z wieluelementów zabezpieczeñ internetowych.Nowe elementy infrastruktury zabezpieczeñinternetowych Microsoftu dotycz¹ce rozproszonych us³ug zabezpieczeñ(Distributed Security Services) systemu Windows 2000 obejmuj¹:uwierzytelnianie klienta (client authentication) za pomoc¹ SSL3, opartego nacertyfikatach z kluczem publicznym (public key certificates),serwer Serwer certyfikatów Certyfikatów (Certificate Server), wydaj¹cycertyfikaty dla kont domen w systemie Windows 2000.Zabezpieczenia systemu Windows 2000 wykorzystuj¹ internetowe standardyzabezpieczeñ z kluczem publicznym (public key security) z elementamiwbudowanymi w system operacyjny.Uwierzytelnianie klientów za pomoc¹ protoko³u SSL3Secure Socket Layer i Transport Layer Security s¹ protoko³ami zabezpieczeñ, wktórych zastosowano klucz publiczny, wykorzystywanymi przez us³ugodawcêzabezpieczeñ (security provider) i kana³ bezpieczny (secure channel).Przegl¹darki i serwery internetowe korzystaj¹ z wy¿ej wymienionych protoko³Ã³wzabezpieczeñ do wzajemnego uwierzytelniania, zapewnienia spójnoœci komunikatów(message integrity) oraz poufnoœci (confidentiality).Internet Explorer(klient) dokonuje uwierzytelnienia serwera internetowego, wówczas gdycertyfikat serwera jest przedstawiony jako czêœæ procedury ustanawiania kana³ubezpiecznego SSL/TLS.Program — -klient przyjmuje certyfikat serwera,weryfikuj¹c podpisy kryptograficzne (cryptographic signatures) umieszczone wcertyfikacie i w ka¿dym z certyfikatów wydanych przez poœrednie jednostkicertyfikuj¹ce (intermediate CA) jednej ze znanych lub skonfigurowanych g³Ã³wnychjednostek certyfikuj¹cych (root CAs).Protoko³y SSL3 i TLS równie¿ obs³uguj¹ uwierzytelnianie klienta (clientauthentication).Uwierzytelnianie klienta za pomoc¹ certyfikatów z kluczempublicznym jest czêœci¹ ustanawiania sesji z kana³em bezpiecznym (securechannel session establishment).Na rysunku 1.7 przedstawiono przesy³anie komunikatów potwierdzenia transmisji(handshake messages) pomiêdzy klientem i serwerem w celu ustanowieniapo³¹czenia bezpiecznego (secure connection establishment).Uwierzytelnianie klienta przez serwer jest tym samym procesem, couwierzytelnianie serwera (server authentication)
[ Pobierz całość w formacie PDF ]