КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 1'2003 (20 января - 2 февраля) || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Новый курс по PKI на базе Центра Компьютерной Безопасности компании Поликом Про
Наталья Боровикова, компания Aladdin
Часть 3: PKI и смарт-карты. Практические результаты курса
В предыдущей статье, посвященной курсу Развертывание инфраструктуры открытых
ключей на платформе Windows Server 2003. Использование смарт-карт и ключей eToken,
мы остановились на проблеме применения PKI-технологий в рамках платформы Microsoft
Windows. Рассмотрим подробнее, каким образом смарт-карты и USB-ключи используются
в этих технологиях. Кроме того, осветим, какие знания и практические навыки
получат специалисты в результате обучения.
Для аутентификации пользователей применяется технология PKI (Public Key Infrastructure),
использующая системы сертификатов и специальных серверов для их проверки центров
сертификации CA (Certification Authorities). Одни из самых популярных систем
сертификации RSA Keon, Baltimore, Verisign и Entrust, работающие по протоколам
HTTP и LDAP (сертификаты X.509). Однако организациям, работающим с Windows 2000/2003,
можно установить собственный центр сертификации на предприятии, не тратя дополнительные
деньги, так как он уже входит в поставку Windows Server.
Что представляет собой технология PKI? Это система цифровых сертификатов и центров
сертификации, позволяющая перейти к гораздо более надежной, чем парольная, системе
аутентификации.
В PKI используется асимметричная криптография с парой ключей (открытый и закрытый
ключи шифрования). В паре ключей все, что шифруется с помощью одного ключа,
может быть расшифровано с помощью другого. Чем длиннее ключ, тем сложнее подобрать
его для восстановления зашифрованных данных. Открытый ключ является общедоступным,
а закрытый доступен лишь его владельцу. PKI технология, обеспечивающая менеджмент
ключей. В отличие от пароля, закрытый ключ нет необходимости никуда передавать.
Проблему представляет только хранение закрытого ключа. Она как раз решается
с помощью таких средств, как смарт-карта или токен, делающих хищение закрытого
ключа невозможным.
Цифровой сертификат является свидетельством того, что открытый ключ шифрования,
который он содержит, действительно принадлежит тому, кто указан в том же сертификате.
Эта связь удостоверяется сертификационным центром, где перед выдачей конечному
пользователю сертификат заверяется. Сертификат может быть выписан как для конечного
пользователя, так и для какого-либо объекта рабочей станции, сервера и т.
д. Сертификат связывает открытый ключ с пользователем, компьютером или службой,
имеющими соответствующий закрытый ключ шифрования.
В процессах, связанных с сертификатами, чаще всего используется стандартный
формат сертификатов X.509 v3. Сертификат X.509 содержит сведения о лице или
объекте, которому выдан сертификат, сведения о самом сертификате, а также дополнительные
сведения о выдавшем его центре сертификации. Сведения о субъекте могут включать
его имя, открытый ключ, название алгоритма пары ключей и т. д.
В ОС начиная с Windows 2000 Server реализована встроенная поддержка PKI. В Windows
2000 с PKI интегрированы различные технологии обеспечения безопасности: защищенный
Web, VPN, RAS, защищенная электронная почта, файловая система с шифрованием
(Encrypted File System, EFS) и другие.
В платформе Windows 2003 Server функции центра сертификации и различных служб,
связанных с ним, значительно расширены. Windows 2003 Server сертифицирован по
Common Criteria и имеет функции ролевого управления службой сертификации.
На сегодняшний день специалистам, работающим на данной платформе, можно порекомендовать
обязательно пройти обучение внедрению PKI-технологий. Такие курсы предлагают
различные компании (Microsoft, Информзащита и др.). Однако, как мы показали
выше, внедрение этих технологий тесно связано с внедрением смарт-карт. На сегодняшний
день курс Развертывание инфраструктуры открытых ключей на платформе Windows
Server 2003. Использование смарт-карт и ключей eToken единственный курс,
в рамках которого все практические работы по PKI-технологиям построены с использованием
смарт-карт.
Слушатели курса получат знания и навыки, необходимые для разработки, внедрения
и повседневного управления инфраструктурой открытых ключей (PKI) для поддержки
приложений, требующих распределения криптографических ключей.
В рамках тренинга рассматриваются:
•проблемы парольной защиты;
•встроенные (штатные) средства обеспечения безопасности Windows 2003/XP,
построенные на основе технологий смарт-карт;
•преимущества систем идентификации, построенных на сертификатах X.509;
•основные концепции построения и внедрения PKI-систем на базе MS Windows
2003 Server CA, ключей и смарт-карт eToken.
Тренинг предполагает как лекционные часы, так и практические работы, на которых
слушатели самостоятельно (под руководством инструктора) развертывают и настраивают
основные PKI-решения построенные на основе технологий смарт-карт.
В результате обучения специалисты смогут:
•проектировать иерархию удостоверяющих центров (Certification Authority,
CA), удовлетворяющую бизнес-требованиям высшей организации;
•устанавливать службу Certificate Services для формирования иерархии CA;
•выполнять текущие задачи по управлению сертификатами и удостоверяющими
центрами, формировать план аварийного восстановления службы Certificate Services;
•создавать и публиковать шаблоны сертификатов, заменять существующие шаблоны
сертификатов;
•выпускать сертификаты вручную и автоматически, выпускать сертификаты
для смарт-карт;
•внедрять архивирование и восстановление ключей в Windows Server 2003
PKI;
•настраивать защиту операционной среды Web-сервера с использованием SSL
и аутентификации с использованием сертификатов для Web-приложений;
•устанавливать защищенный почтовый обмен с использованием Microsoft Exchange
Server 2003;
•настраивать средства защиты сетевого трафика при организации удаленного
доступа;
•внедрять смарт-карты в операционной среде Windows;
•внедрять механизм двухфакторной аутентификации с помощью сертификатов
в среде Windows 2003/XP;
•использовать рекомендации Microsoft, NIST, NSA и других организаций по
настройке средств безопасности Windows 2000/2003/XP и приложений на их основе.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru