کربروس

کربروس

اسلاید 1: فصل يازدهمKerberos & X.509مبتني بر فصل 11 از کتاب Network Security, Principles and Practice,2nd Ed.ويرايش شده توسط: حميد رضا شهرياريhttp://www.fata.irhttp://mehr.sharif.edu/~shahriari

اسلاید 2: 2افسانه يونانيسگ سه سر افسانه يوناني : محافظان دروازه هاي جهنم!سرها نماد:AuthenticationAuthorizationAccountingاگرچه در عمل تنها احراز هويت اعمال شد.

اسلاید 3: 3انگيزهمحيطهاي جديد: به صورت توزيع شدهدر يک محيط توزيع شده سه روش براي امنيت:اعتماد به ايستگاه کاري در معرفي کردن کاربران خود و اعمال سياست امنيتي مبتني بر شناسه کاربراننياز به احراز هويت سيستمهاي client توسط کارگزار ولي اعتماد به سيستمهاي client نسبت به هويت شناسي کاربران خودنياز به احراز هويت هر يک از کاربران نسبت به سرويس درخواستي و بالعکس

اسلاید 4: 4کربروساحراز هويت بر اساس رمز نگاري کليد مخفي (متقارن)طراحي شده در MITبه جاي احراز هويت در هر کارگزار به صورت توزيع شده، يک کارگزار خاص را به احراز هويت اختصاص ميدهيم نسخه هاي 4 و 5 آن در حال استفاده هستند

اسلاید 5: 5نيازمنديها/ويژگيهاي عمومي کربروسعمومي بودن(Common)در محيط توزيع شده همراه با سرورهاي متمرکز و غير متمركزامنيت (Security)ادعاي اصلياطمينان (Reliability)اطمينان از دسترسي پذيري کارگزار هويت شناسي (کربروس)شفافيت (Transparency)کاربران بايد سيستم را همانند يک سيستم ساده “شناسه و کلمه عبور” ببينند. مقياس پذيري (Scalability)قابليت كار با تعداد زيادي ماشين كاربر و كارگزار

اسلاید 6: 6ويژگيهاي عمومي کربروسچند تعريف دامنه: يک محدوده دسترسي را مشخص مي کند. به نوعي معادل دامنه هاي تعريف شده در ويندوز مي باشد.مرکز توزيع کليد: معادل کارگزار کربروس مي باشد. Principal : به سرويس ها، دستگاه ها، کاربران و کليه عناصري که احتياج به شناساندن خود به کارگزار کربروس دارند، گفته مي شود.

اسلاید 7: 7کربروسبراي معرفي کربروس به صورت گام به گام از پروتکلهاي ساده شروع مي کنيم و سعي مي کنيم اشکالات هر يک را برطرف کنيم تا به کربروس برسيم.

اسلاید 8: 8ديالوگ ساده احراز هويت-0فرص: بين AS و هر کارگزار يک کليد مشترک وجود دارد. درخواست خدمات توسط کارفرما از کارگزار:Client  AS: IDclient || PassClient || IDServerAS  Client: TicketClient  Server: IDclient || TicketAS : Authentication Serverکارگزار احراز هويت Kserver: Shared key between AS and ServerTicket = EKserver [IDclient || Addrclient || IDserver]

اسلاید 9: 9بليطدر واقع نوعي گواهي است كه هنگام ورود كاربر به قلمرو کربروس به او داده مي شود كه بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.

اسلاید 10: 10بررسي ديالوگ چرا آدرس کارفرما (Client) در بليط ذکر ميشود؟در غير اين صورت هر شخصي که بليط را از طريق شنود به دست آورد نيز ميتواند از امکانات استفاده کند. اما اکنون تنها خدمات به آدرس ذکر شده در بليط ارايه ميشود. مشکل جعل آدرس چرا شناسه کارفرما IDclient در گام سوم به صورت رمز نشده ارسال ميشود؟زيرا اين اطلاعات به صورت رمزنگاري شده در بليط وجود دارد.اگر شناسه با بليط مطابقت نداشته باشد خدمات ارايه نمي شوند.

اسلاید 11: 11مشکلات ديالوگ ساده احراز هويت-0ناامنيارسال كلمه عبور بدون رمزگذاري (به شكل متن واضح)امکان حمله تکرار ناکارآييلزوم تقاضاي بليط جديد براي هر خدمت

اسلاید 12: 12استفاده مجدد از بليط هاچرا استفاده مجدد از بليط ها (Tickets) اهميت دارد؟جلوگيري از تايپ مجدد کلمه عبور در يک بازه زماني کوتاهشفافيت احراز هويت کاربر متوجه فرآيندهاي هويت شناسي نمي شود.

اسلاید 13: 13افزايش ايمني-ديالوگ 1استفاده از يک کارگزار جديد با نام کارگزار اعطا کننده بليط TGS: Ticket Granting Serverکارگزار احراز هويت، AS ، کماکان وجود دارد. بليط “اعطاء بليط” ticket-granting ticket توسط آن صادر مي شود.اگرچه بليطهاي اعطاء خدمات توسط TGS صادر ميشوند.بليط “اعطاء خدمات” service-granting ticketاجتناب از انتقال کلمه عبور با رمز کردن پيام کارگزار احراز هويت (AS) به کارفرما توسط کليد مشتق شده از کلمه عبور

اسلاید 14: 14افزايش ايمني -ديالوگ1ASClientTGSServer1. IDClient || IDTGS2. EKClient [TicketTGS]3. IDClient || IDServer || TicketTGS4. TicketServer5. IDClient || TicketServerکارفرما با کمک کليد مشترک خود و AS بليط TGS را بازيابي ميکند.جلسه Log In

اسلاید 15: 15افزايش ايمني -ديالوگ1پيامهاي شماره يک و دو به ازاء هر جلسه Log on رد و بدل ميشوند. پيامهاي شماره سه و چهار به ازاء هر نوع خدمات رد و بدل ميشوند.پيام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميشود.Client  AS: IDClient || IDTGSAS  Client: EKClient [TicketTGS]Client  TGS: IDClient || IDServer || TicketTGSTGS  Client: TicketServerClient  Server: IDClient || TicketServer

اسلاید 16: 16محتوي بليط هابليط اعطاي بليط :بليط اعطاي خدمات :

اسلاید 17: 17ويژگي هاي ديالوگ 1دو بليط صادر شده ساختار مشابهي دارند. در اساس به دنبال هدف واحدي هستند.رمزنگاري TicketTGS جهت احراز هويتتنها کارفرما مي تواند به بليط رمزشده دسترسي پيدا کند.رمز نمودن محتواي بليطها تماميت (Integrity) را فراهم ميکند.استفاده از مهر زماني (Timestamp) در بليطها آنها را براي يک بازه زماني تعريف شده قابل استفاده مجدد مي کند.هنوز از آدرس شبکه براي احراز هويت بهره مي گيرد. چندان جالب نيست زيرا آدرس شبکه جعل (Spoof) مي شود. با اين حال، درجه اي از امنيت مهيا مي شود

اسلاید 18: 18نقاط ضعف ديالوگ 1مشكل زمان اعتبار بليطها:زمان كوتاه : نياز به درخواست هاي زياد گذرواژهزمان بلند : خطر حمله تکرار هويت شناسي يک سويه : عدم احراز هويت کارگزار توسط كارفرمارسيدن درخواست ها به يك کارگزارغيرمجاز

اسلاید 19: 19کربروس نسخه 4توسعه يافته پروتکل هاي قبلي است.مشکل حمله تکرار حل شده است.احراز هويت دو جانبه (mutual) برقرار ميشود.کارگزاران و کارفرمايان هر دو از هويت طرف مقابل اطمينان حاصل ميکنند

اسلاید 20: 20مقابله با حمله تکراريک نياز جديد: کارگزار يا TGS بايد اطمينان حاصل نمايند که کاربر بليط همان کسي است که بليط براي او صادر شده.مفهوم جديدي به نام اعتبار نامه (Authenticator) ابداع شده است:علاوه بر بليط ها از مفهوم کليد جلسه بهره مي جويد

اسلاید 21: 21کربروس نسخه 4: بررسي الگوريتم-1 ASClient2. EKClient[KClient,tgs|IDtgs|TS2|Lifetime2|Tickettgs]1. IDClient|IDtgs|TS1Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]

اسلاید 22: 22تمامي با کليد مشترک AS و TGS رمز شده اندبليط TGSکليد جلسه بين کارفرما و TGSشناسه کارفرماآدرس کارفرماشناسه TGSمهر زماني و دوره اعتبار بليطTickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]

اسلاید 23: 23نتايج اين مرحله براي كارفرمابدست آوردن امن بليط ”اعطاء بليط“ از ASبدست آوردن زمان انقضاي بليط(TS2)بدست آوردن كليد جلسه امن بين کارفرما و TGS

اسلاید 24: 24بدست آوردن بليط “اعطاء خدمات”TGSClient3. IDserver|Tickettgs|AuthenticatorClientTicketServer=EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]AuthenticatorClient=EKClient,tgs[IDClient|AddrClient|TS3]4. EKClient,tgs [KClient,server|IDserver|TS4|Ticketserver]

اسلاید 25: 25تمامي با کليد کارگزار رمز شده اندبليط کارگزارکليد جلسه بين کارفرما و کارگزارشناسه کارفرماآدرس کارفرماشناسه TGSمهر زماني و دوره اعتبار بليطTicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]

اسلاید 26: 26اعتبار نامه کارفرماشناسه کارفرماآدرس کارفرمامهر زمانيAuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]تمامي با کليد جلسه رمز شده اند

اسلاید 27: 27نتايج اين مرحله براي كارفرماجلوگيري از حمله تکرار با استفاده از يك اعتبار نامه (Authenticator) يكبار مصرف كه عمر كوتاهي دارد.بدست آوردن كليد جلسه براي ارتباط با کارگزار V

اسلاید 28: 28دستيابي به خدمات سرورClientServer5. TicketServer|AuthenticatorClient6. EKClient,Server [TS5+1]

اسلاید 29: 29نتايج اين مرحله براي كارفرمااحراز هويت کارگزار در گام ششم با برگرداندن پيغام رمزشدهجلوگيري از بروز حمله تکرار

اسلاید 30: 30کربروس نسخه 4: شماي کلي

اسلاید 31: 31کربروس نسخه 4: شماي کلي

اسلاید 32: 32قلمرو کربروس (realm)قلمرو کربروس از بخشهاي زير تشكيل شده است:کارگزار کربروس کارفرمايان کارگزاران كاربردي Application Serversکارگزار کربروس گذرواژه تمام کاربران را در پايگاه داده خود دارد.کارگزار کربروس با هر کارگزار كاربردي کليدي مخفي به اشتراک گذاشته است. معمولاً هر قلمرو معادل يک حوزه مديريتي است.

اسلاید 33: 33هويت شناسي بين قلمرويي

اسلاید 34: 34کربروس نسخه 5مشخصاتدر اواسط دهه 1990 مطرح شدنقص ها و كمبودهاي نسخه قبلي را برطرف كرده استبه عنوان استاندارد اينترنتي RFC 1510 در نظر گرفته شده است.ويندوز 2000 از استاندارد اينترنتي کربروس نسخه 5 به عنوان روش اصلي هويت شناسي کاربران استفاده مي کند.

اسلاید 35: 35مشكلات Kerberos v4 و نحوه رفع آنها در نسخه 5وابستگي به يك سيستم رمزنگاري خاص(DES)+ در نسخه 5 مي توان از هر الگوريتم متقارن استفاده كردوابستگي به IP+ در نسخه 5 مي توان از هر آدرس شبكه(مثلا OSI يا IP) استفاده كردمحدود بودن زمان اعتبار بليطها+ در نسخه 5 اين محدوديت وجود ندارد

اسلاید 36: 36مشكلات Kerberos v4 و نحوه رفع آنها در نسخه 5امكان انتقال اعتبار يك كاربر به يك سرور ديگر وجود ندارد+ مثلا DBMS نياز دارد براي پاسخ دادن به پرس و جوي کاربر، برخي داده ها را از يک پايگاه داده ديگر بگيرد.با افزايش تعداد قلمروها، تعداد كليدها بصورت تصاعدي افزايش مي يابد+ در نسخه 5 اين مشكل حل شده است.

اسلاید 37: 37کربروس نسخه 5: شماي کليVV

اسلاید 38: 38پياده سازي هاي موجوددانشگاه MIT : اولين پياده سازي کربروس که هنوز به عنوان مرجع مورد استفاده قرار مي گيردHeimdal : تنها پياده سازي انجام شده در خارج آمريکاActive Directory : پياده سازي ارائه شده توسط مايکروسافت که در RFC 1510 آمده است

اسلاید 39: 39گواهي X-509 DirectoryAliceBobAlice’s PublicKey CertificateBob’s PublicKey CertificateCertificate AuthorityAlice’s Public KeyPublishCABob’s Public KeyRetrieve Bob’sCertificateRetrieve Alice’sCertificate

اسلاید 40: 40مباني PKI نكته اصلي در رمزنگاري نامتقارن:“ چه كسي كليد خصوصي متناظر با يك كليد عمومي را دارد؟” در پاسخ به يك پيغام، بايد مطئن بود كه دريافت كننده همان است كه مورد نظر ما است.

اسلاید 41: 41مباني PKI بايد كليد عمومي در دسترس عموم باشد با تضمين تعلق.با كليد عمومي يك نفر، چه كاربردي مجاز است؟ ارسال نامه يا امضاء قرارداد؟راه حل بايستي مقياس پذير (Scalable) باشد.

اسلاید 42: 42گواهي‌‌هاي سادهكارت ويزيت به عنوان حمل كننده كليد عمومي. روي كارت مشخصات دارنده كارت. پشت كارت RSA Public key شكل 3-1

اسلاید 43: 43گواهي‌‌هاي ساده

اسلاید 44: 44ويژگي‌ها 1خيلي رايج است. تماس مستقيم لازم است تا كارت داده شود. صرفاً ادعاي ارائه دهنده كارت است و لذا اعتبار صددرصد ندارد. كليد عمومي را بايد تايپ كرد.

اسلاید 45: 45ويژگي‌ها 2اگر كليد خصوصي گم شود نمي‌توان به دارندگان كارت اعلام كرد. اگر آدرس تغييركند نمي‌توان به دارندگان كارت اعلام كرد. قابل جعل است.

اسلاید 46: 46كارت اعتباري 1حاوي كليد عمومي نيست. مشخصات دارنده كارت را دارد. صادركننده مشخص است. تاريخ انقضاء.

اسلاید 47: 47كارت اعتباري 2صرفاً به كساني كه همديگر را ملاقات كرده‌اند محدود نمي‌باشد. صادركننده، دارنده كارت، فروشنده سه عنصر متمايز هستند.امضاء‌ دارد به نحوي كه مي‌توان تعلق كارت را به دارنده كنترل كرد.اطلاعات كارت از طريق نوار مغناطيسي قابل انتقال است.

اسلاید 48: 48گواهي ايده‌آلتركيب كارت ويزيت و كارت اعتباري.ويژگي‌‌ها:1- شيئي ديجيتالي باشد كه توزيع آن ساده باشد.2- حاوي نام و مشخصات كاربري كه دارنده كليد خصوصي متناظر است، باشد.3- تاريخ توليد گواهي را دارا باشد.

اسلاید 49: 49گواهي ايده‌آل 4- صادركننده گواهي معتبر باشد. 5- گواهي صادره بين گواهي‌هاي توليد شده توسط صادر كننده منحصر بفرد باشد. 6- منقضي نشده باشد. 7- اطلاعات گواهي قابل تغيير و جعل نباشد. 8- به سرعت بتوان اعلام كرد كه منبع گواهي معتبر نيست. 9- ذكرشده باشدكه گواهي به چه كاربردهايي تناسب دارد.

اسلاید 50: 50گواهي كليد عمومي 1گواهي (Certificate) مستند رسمي براي تضمين تعلق شناسه به كليد.گواهي به وسيله يك مركز مطمئن (CA) امضا، شده است.Certificate:= ( Public Key, ID, EKRCA(Certificate - Signature) )

اسلاید 51: 51گواهي كليد عمومي 2جامعيت گواهي به راحتي قابل كنترل است. هر تغييري در آن به سادگي كنترل مي‏شود.ارسال و ذخيرة گواهي به شكل رمز نشده.براي خواندن محتوي گواهي به كليد عمومي CA نياز داريم.تقريباً همگي مشخصات گواهي ايده‌آل در گواهي كليد عمومي است. (مورد 1 تا 7)

اسلاید 52: 52گواهي كليد عمومي 2

اسلاید 53: 53استفاده از گواهي براي كنترل درستي امضاء

اسلاید 54: 54عدم اعتبار گواهي 1براي اعلام عدم اعتبار گواهي بايستي به صادر كننده اعتمادكرد ونه به اعلام كننده. گواهي‌هاي جديد نيز بايد به تأييد يك مركز مورد اعتماد برسد. براي ارضاء اعلام عدم اعتبار گواهي از CRL استفاده مي‌شود. Certificate Revocation List

اسلاید 55: 55عدم اعتبار گواهي 2تغيير شغل و پس از آن تغيير كليد عمومي :: ضرورت اطمينان از اطلاع همه دنيا از اين تغيير. يك راه اين است كه هركس هرگاه كليد عمومي خواست از مركز مورد اعتماد در خواست كند. راه ديگر اينكه با گم شدن، تغيير و يا لو رفتن كليد خصوصي ليستي از گواهي‌هاي منقضي نشده بي‌اعتبار به همگان منتشر شود.

اسلاید 56: 56عدم اعتبار گواهي 3ممكن است قبل از انقضا، ابطال صورت گيرد:كليد خصوصي لو رفته باشد.كاربر توسط اين CA تاييد نمي‏شود.تاريخ انقضاء، ليست گواهي‌هاي نامعتبر، به همراه امضاء صادر كننده در CRL وجود دارد.

اسلاید 57: 57عدم اعتبار گواهي 3

اسلاید 58: 58هدف از گواهي؟هركاربر يك ميزان اعتبار دارد و آن ميزان اعتبار متناسب با سطحي از حساسيت كارها است. كارت اعتباري هم به افراد مختلف اعتبارهاي متفاوت مي‌دهد (كارت نقره‌اي، طلايي، پلاتيني، و تيتانيومي) :Certificate Policy امضاء نامه، امضاء قرارداد،…..

اسلاید 59: 59هدف از گواهي؟

اسلاید 60: 60وظايف PKIهدف فراهم ‏آوردن اعتماد به تراكنشهاي الكترونيكي.سيستمي كه نياز است تا رمزنگاري مبتني بر كليد عمومي و امضا، رقمي را فراهم آورد PKI نامند.هدف از PKI مديريت كليد و گواهي‏ها است.

اسلاید 61: 61CACA به عنوان آژانس اعتماد در يك PKI است و لذا طرف سوم امن ناميده مي‏شود.

اسلاید 62: 62نسخه‏برداري و بازيابي كليدكليد ممكن است گم شود! داده‏ها غير قابل دسترس مي‏شوند. بايد مركزي براي بازيابي كليد وجود داشته باشد.دو دليل براي نسخه‏برداري كليدفراموشي كلمة رمز: نابودي داده‏هاي حساس. حتي رمز نكردن به خاطر ترس از گم‏شدن كلمة رمز وجود دارد.گم شدن، دزديده شدن، و يا خرابي رسانه‏اي كه كليدها روي آن ذخيره شده است.

اسلاید 63: 63نسخه‏برداري و بازيابي كليد - 2عدم انكار دليلي بر عدم نسخه‏برداري كليدانكار يعني اعلام عدم دخالت در يك تراكنش. در فرم كاغذي امضاء‌ اين كار را كنترل مي‏كند. در فرم الكترونيكي: امضاء رقمي.عدم انكار مستلزم توليد و ذخيرة امن كليد امضاء در محدوده تحت كنترل كاربر (در همة‌حالات) است و لذا نبايد از آن Backup گرفت. از نظر فني هم ضرورت ندارد چرا كه يك زوج كليد ديگر توليد و استفاده مي‏شود.==> دو زوج كليد براي هر كاربر لازم است!

اسلاید 64: 64مديريت سابقة كليدهانبايد كليدها ابدي باشند. پس بايد:كليدها را بروز آورد.سابقه زوج كليدهاي قبلي را نگهداشت تا داده‏هاي رمز شده با زوج قبلي قابل رمزبرداري باشند. اين كار توسط نرم‏افزار طرف كارفرما انجام مي‏شود.بروزآوري كليد بايد شفاف (Transparent) باشد،‌قبل از انقضاء ‌بروز آيد.نقطه مقابل: وقتي كليدهاي امضاء بروز مي‏آيند بايد كاملا نابود شوند!

اسلاید 65: 65 مؤلفه‌‌‌‌‌‌هاي PKIتا حال صادر كننده را مسئول توليد، مديريت، و توزيع گواهي و CRL تلقي كرده‌ايم. PKI از تعدادي مؤلفه تشكيل شده است كه هركدام بخشي از وظايف را به خوبي انجام مي‌دهند...

اسلاید 66: 66 مؤلفه‌‌‌‌‌‌هاي PKIچهار مؤلفه اصلي: Certificate Authority : CA Registration Authority: RA کنترل محتواي گواهي و اطمينان از تعلق به دارنده آن.انباره(Repository): توزيع گواهي‌ها و CRLها (حداكثر كارآيي و دسترس پذيري را لازم دارد.)آرشيو (Archive): انباره طولاني و امن براي آرشيو اطلاعات.

اسلاید 67: 67 مؤلفه‌‌‌‌‌‌هاي PKIاستفاده كنندگان: .همچنين كاربران شامل : مشترك و يا Certificate Holder” كاربر گواهي يا طرف اعتماد.

اسلاید 68: 68CAمجموعه‌اي از سخت افزار، نرم افزار، و اپراتورها. با دو صفت شناخته مي‌شود: نام و كليد عمومي. وظايف...

اسلاید 69: 69وظايف CAصدور گواهي (توليد و امضاء) به كاربران و يا ديگر CAها.نگهداري وضعيت گواهي‌ها و صدور CRL.انتشار گواهي‌ها و CRL موجودنگهداري آرشيو اطلاعات وضعيتي از گواهي‌هاي صادره منقضي يا ابطال شده، به منظور تعيين اعتبار گواهي‌ها پس از انقضاء.

اسلاید 70: 70 صدور گواهيتأييد اينكه فاعل (دارنده گواهي) كليد خصوصي متناظر با كليد عمومي موجود در گواهي را دارد.اگر كليد خصوصي CA لو برود، همه گواهي‌‌هاي صاده‌اش در معرض شك است.پس اولين وظيفه CA حفاظت از كليد خصوصي خودش است، حتي وقتي در حافظه اصلي درحال پردازش است.وظيفه ديگر CA اطمينان از درستي گواهي و درستي ادعاي درخواست كننده گواهي است.

اسلاید 71: 71اجزاي تشكيل دهنده CA

اسلاید 72: 72RAدو روش براي تأييد هويت متقاضيRA قبل از ارائه در خواست به CA اطلاعات لازم را جمع آوري و كنترل مي‌كند: مراجعه شخص، تأييد هويت.اگر قبلاً زوج كليد توليد كرده باشد كه همان به CA ارسال مي‌شود.در غير اين صورت يك هويت شناسي يكبار مصرف مي‌گيرد تا پس از توليد به CA ارائه دهد.

اسلاید 73: 73معماري PKIمادام كه دارندگان گواهي از يك CA گواهي گرفته باشند مسئله ساده است.وقتي كه دارندگان گواهي از CAهاي مختلف گواهي گرفته باشند چگونه اعتماد كنند؟معماري سادهPKI تنها يك CA در سازمان گلوگاه و Single point of failure هرگونه اشكال منجر به لطمه ديدن اعتماد و احتمالاً صدور مجدد گواهي‌ها.

اسلاید 74: 74X.509 محصول ITU-T و بخشي از توصيه‏هاي سري X.500گواهي X.509 در S/MIME، IPSec، SSL/TLS،‌و SET استفاده شده است.CA << A >> O به معناي گواهي صادره CA براي كاربر A است.همه كاربران در محدودة يك CA: وجود اعتماد مشترك و امكان وريف كردن گواهي صادره.

اسلاید 75: 75Version 1Version 3Version 2All Versionsساختار گواهي رقمي

اسلاید 76: 76ساختار گواهي رقمي -2CertificatePublic Key Algorithm Signature Algorithm(object Identifier)(object Identifier)Public Key(bit string)Subject(name)Issuer(name)Not BeforeNot AfterValidity Period(date and time)(date and time)SignedOptional AttributesVersion(Integer)

اسلاید 77: 77Cross-Certificateدر محيط بزرگتر: چند CA يا درختي از CA.هر CA به كاربران خود سرويس مي‏دهد و لي به ازاء هر CA ديگر هم يك گواهي نزد خود دارد.با فرض A و B مربوط به در CA مختلف X1 و X2:X1 <<X2>> X2 <<B>> OX2 <<X1>> X1 <<A>> Oبا توجه به شكل مي‏توان داشت:X <<W>> W <<V>> V <<Y>>Y<<Z>>Z<<B>> OZ <<Y>> Y <<V>> V <<W>>W<<X>>X<<A>> O

اسلاید 78: 78Enterprise PKIدومعماري مختلف براي PKI بزرگ. سلسله مراتبي Mesh

اسلاید 79: 79گواهي براي كاربران سيستم

اسلاید 80: 80

اسلاید 81: 81CRLsHot List در مورد Credit Card ليست سوء استفاده کنندگان را دارد. CRL همان Hot List است که در آن شماره سريال قرار مي گيرد.کاربران گواهي، CRL را براي وجود شماره سريال گواهي در داخل آن کنترل مي کنند.CRL به امضاء CA مي رسد تا هويت شناسي و صحت محتواي آن تأييد شود. يک چارچوب مورد استفاده در حداکثر کاربردهاي CRL در اين جا مورد انتظار است.

اسلاید 82: 82ساختار CRL

اسلاید 83: 83توليد و استفاده از CRL Full CRL در مواقعي که يک CA هر از چندگاه ليست کامل Revoke شده ها را مي دهد.از next update time براي کنترل کهنه بودن CRL استفاده مي شود.CRL Location: اگر محل توزيع CRL مشخص نباشد بايد در محلي باشد که CA مشخص کرده است.اندازه CRL مسئله است چرا که همه Revoke شده ها را بايد پشتيباني کند.Delta CRL اختلاف اخير ترين بروز رساني و CRL جديد.

اسلاید 84: 84رويه ها و خط مشي هابراي داشتن PKI دو دسته مستند لازم است(CP) Certificate Policy(CPS) Certificate Practices Statementاين دو قالب مشترک دارند ولي شنونده متفاوت و هدف متفاوتي دارند.

اسلاید 85: 85رويه ها و خط مشي ها -2CP يک مستند سطح بالا است که خط مشي اي امنيتي براي صدور گواهي و نگهداري اطلاعات گواهي را شرح مي دهد.شرح عمليات CA، مسئوليت هاي کاربر براي درخواست، استفاده، و مديريت کليدها و گواهي ها را دارد.عمر اين خط مشي از مرحله توليد تا انقضاء گواهي است. CPS يک مستند خيلي جزئي است که نحوه اجرايي شدن CP را بيان مي کند.