Ieiet

Vadlīnijas 

 
Viss > Atbalsts > Partneriem > Vadlīnijas > Integrācijas nodrošināšana > Norādījumi sertifikātu pārvaldībai > Kriptogrāfijas teorijas pamati > Publiskās atslēgas infrastruktūra un sertifikāts > PKI soļi

1.1.4 PKI soļi

Jānim vajag iegūt digitālo sertifikātu sev, lai varētu piedalīties PKI. Nepieciešams veikt šādus soļus:

  • Jānis izsaka pieprasījumu RA.

  • RA pieprasa noteiktu identifikācijas informāciju no Jāņa, kā, piemēram, vadītāja apliecības kopija, viņa telefona numurs, viņa adrese un cita identifikācijas informācija.

  • Kad RA saņem pieprasīto informāciju no Jāņa un pārbauda to, RA sūta sertifikāta pieprasījumu uz CA.

  • CA izveido sertifikātu ar Jāņa publisko atslēgu un tajā ietverto publisko informāciju (šis privātās/publiskās atslēgas pāris ir ģenerēts uz CA vai Jāņa datorā, tas atkarīgs no sistēmas konfigurācijas). Ja tas ir izveidots CA, tad privātā atslēga jānosūta Jānim drošā veidā. Visbiežāk, lietotājs ģenerē savu pāri un sūta to savā publiskajā atslēgā reģistrācijas procesā).

Tagad Jānis ir reģistrēts un var piedalīties PKI. Ja Jānis un Līga izlemj, ka vēlas komunicēt, tad viņi veic tālāk uzskaitītos soļus, skat. attēlu:

  • Jānis pieprasa Līgas publisko atslēgu no publiskās sadaļas.

  • Sadaļa, kas tiek saukta arī par repozitoriju, sūta Līgas digitālo sertifikātu.

  • Jānis pārbauda digitālo sertifikātu un izgūst viņas publisko atslēgu. Jānis lieto šo publisko atslēgu, lai šifrētu sesijas atslēgu, kas tiek lietota, lai šifrētu viņu ziņojumus. Jānis sūta šifrēto sesijas atslēgu Līgai. Jānis arī sūta viņa sertifikātu, kas satur viņa publisko atslēgu, Līgai.

  • Kad Līga saņem Jāņa sertifikātu, viņas pārlūkprogramma skatās vai var uzticēties CA, kas digitāli parakstīja viņa sertifikātu. Līgas pārlūks uzticas šim CA un pēc tam, kad viņa ir pārbaudījusi sertifikātu, abi Jānis un Līga var komunicēt lietojot šifrēšanu.

CA un lietotāju attiecības

PKI var tikt izveidota no šādām daļām un funkcijām:

  • Sertifikāta iestāde;

  • Reģistrācijas iestāde;

  • Sertifikātu repozitorijs;

  • Sertifikātu atcelšanas sistēma;

  • Atslēgu dublēšanas un atgūšanas sistēma (backup and recovery);

  • Automātiska atslēgas atjaunošana;

  • Atslēgu vēstures pārvaldīšana;

  • Laika zīmogs;

  • Klienta puses programmatūra.

PKI atbalsta šādus drošības pakalpojumus:

  • Konfidencialitāti;

  • Piekļuves kontroli;

  • Integritāti;

  • Autentifikāciju;

  • Pretizvairīšanos (nonrepudiation).

PKI jāsaglabā atslēgu vēsturi, no visām vecajām un pašreizējām publiskajām atslēgām, kas tikušas lietotas. Piemēram, ja Pēteris šifrē simetrisko atslēgu ar Jāņa veco publisko atslēgu, tad Jānim jāvar tikt klāt šiem datiem. Tas var notikt tikai, ja CA uztur vēsturi par Jāna vecajiem sertifikātiem un atslēgām.

Vēl viena svarīga PKI sastāvdaļa ir drošs laika avots, kas nodrošina drošu laika zīmogu, kas ir aktuāli gadījumos, kad nepieciešams veikt pretizvairīšanos.