A titkosítás, digitális hitelesítés és azonosítás meghatározó architektúrája
a PKI (Public Key Infrastructure - nyilvános kulcsú infrastruktúra). Ennek központi
komponense a CA (Certificate Authority - Hitelesítő Hatóság), és az e köré csoportosuló
feladatokat (directory-szolgáltatás, tanúsítvány-kibocsátás és -visszavonás stb.)
megvalósító rendszerek.
A PKI rendszer kiterjedt feladatkörre nyújt megoldást egy komplex szoftvercsomag
keretében, mely a védelem olyan széles spektrumát lefedi, amit még néhány éve
több gyártó több szoftvere tudott csak megoldani. A teljes lefedettségű PKI-kiépítési
projekt keretében olyan rendszerintegrátori és tanácsadói szolgáltatásokat nyújtunk,
mint a szabályozás kialakítása, rendszertervezés, szerverkörnyezet kialakítása,
hálózati integráció, széles körű biztonsági megoldások, projektmenedzsment.
Microsoft PKI-alapú megoldások
Számos Windows 2003, Office alkalmazás (beépített és additív egyaránt) képes
kihasználni a Microsoft PKI által nyújtott biztonsági szolgáltatások körét: hálózati
rendszerek, VPN rendszerek (Virtual Private Network), ERP alkalmazások (Enterprise
Resource Planning), dokumentumok aláírása, és smart card alapú alkalmazások. A
szükséges tanúsítványok típusai és a hozzárendelés típusa (számítógéphez vagy
felhasználóhoz) az alkalmazásoktól függ, amelyekhez a tanúsítványokat használni
akarjuk majd a későbbiek során. A követezőekben felsoroljuk azon Windows 2003
alatti alkalmazási körök listáját, amelyek legnagyobb jelentőséggel bírnak egy
Windows 2003 alapú PKI kialakítása során: - biztonságos Web - biztonságos levelezés
- fájlrendszer titkosítás - kód aláírás - intelligens kártyás bejelentkezés -
virtuális magánhálózat - távoli elérés autentikáció - SMTP Site kapcsolatok autentikációja
- Microsoft CryptoApi
Verizon Cybertrust UniCERT PKI rendszer
Az UniCERT-tet arra hozták létre, hogy lehetővé tegye az alkalmazó számára egy
PKI implementációját, amelyet a saját cége igényeihez szabhat. UniCERT, mint a
PKI sarokköve lehetővé teszi a PKI számára, hogy a felhasználó igényeinek változásaihoz
alkalmazkodjon, támogassa az új alkalmazásokat és az új felhasználókat. Lehetővé
teszi, hogy együttműködjön a társszervezetekkel, és saját infrastruktúrához alkalmazkodjon.
Az UniCERTet úgy tervezték, hogy nagyon rugalmas legyen, így a nyílt kulcsú infrastruktúrák
széles körével tud együtt működni, beleértve a céges, illetve a nemzeti speciális
követelményeket is. Ezek az alábbi sajátosságok:
Számos Windows 2003, Office alkalmazás (beépített és additív egyaránt) képes
kihasználni a Microsoft PKI által nyújtott biztonsági szolgáltatások körét: hálózati
rendszerek, VPN rendszerek (Virtual Private Network), ERP alkalmazások (Enterprise
Resource Planning), dokumentumok aláírása, és smart card alapú alkalmazások. A
szükséges tanúsítványok típusai és a hozzárendelés típusa (számítógéphez vagy
felhasználóhoz) az alkalmazásoktól függ, amelyekhez a tanúsítványokat használni
akarjuk majd a későbbiek során. A követezőekben felsoroljuk azon Windows 2003
alatti alkalmazási körök listáját, amelyek legnagyobb jelentőséggel bírnak egy
Windows 2003 alapú PKI kialakítása során: - biztonságos Web - biztonságos levelezés
- fájlrendszer titkosítás - kód aláírás - intelligens kártyás bejelentkezés -
virtuális magánhálózat - távoli elérés autentikáció - SMTP Site kapcsolatok autentikációja
- Microsoft CryptoApiAz UniCERT-tet arra hozták létre, hogy lehetővé tegye az
alkalmazó számára egy PKI implementációját, amelyet a saját cége igényeihez szabhat.
UniCERT, mint a PKI sarokköve lehetővé teszi a PKI számára, hogy a felhasználó
igényeinek változásaihoz alkalmazkodjon, támogassa az új alkalmazásokat és az
új felhasználókat. Lehetővé teszi, hogy együttműködjön a társszervezetekkel, és
saját infrastruktúrához alkalmazkodjon. Az UniCERTet úgy tervezték, hogy nagyon
rugalmas legyen, így a nyílt kulcsú infrastruktúrák széles körével tud együtt
működni, beleértve a céges, illetve a nemzeti speciális követelményeket is. Ezek
az alábbi sajátosságok:
|
-
|
Összetett regisztrációs és kézbesítő rendszerek: az UniCERT több különböző regisztrációs
és kézbesítő mechanizmust támogat, ideértve: az e-mail, Web, személyes (face-to-face
"szemtől-szembe"), VPN, CMP és Cisco SCEP mechanizmusokat.
|
|
-
|
Támogatja a biztonsági modulok, USB tokenek és intelligens kártyák széles tartományát.
|
|
-
|
Támogatja napjaink korszerű titkosítási algoritmusait.
|
|
-
|
Összetett publikációs metódusokat támogat, továbbá kezel külső LDAP címtárakat.
Támogatja a lemezre publikálást, hogy könnyen személyre szabható publikációs eljárásokat
alkalmazhassunk.
|
|
-
|
Támogatja a visszavonási metódusok több módját, ideértve: a CRL-eket, OCSP-t
és a CRL disztribúciós pontokat (CDP-k).
|
|
-
|
Komplex PKI hierarchiák: UniCERT támogatja a CA-k hierarchiáját (minden mélységben),
összetett RA-k, összetett RA kicserélők (RA Exchange) és más CA-k kereszt-tanúsítványait.
|
|
-
|
Felhasználók összetett kulcsai és tanúsítványai: létre lehet hozni olyan policy-t,
amely képes kezelni a felhasználó összetett kulcsait és tanúsítványait, és a kulcs-használat
minden kulcshoz konfigurálható éppúgy, az aláírásnál, a titkosításnál és minden
alkalmazásnál, mintha különálló kulcsok lennének.
|
|
-
|
Rugalmas autentikáció: minden tanúsítványkérés hitelesíthető egy vagy több hitelesítő
entitással, ami csak a szabályrendszertől függ. A regisztrációs kérelmek automatikusan
is kezelhetők batch jellegű feldolgozás során.
|
|
-
|
Bevetési stratégiák: azt, hogy miként kell az UniCERT-et installálni, függ az
alkalmazott PKI felépítésétől, ami képes a WAN-okon, LAN-okon, vagy csak néhány
számítógépből álló rendszeren is működni (intranet- vagy internethasználat).
|
Könnyű használat
Az UniCERT arra lett kifejlesztve, hogy minden kategóriába tartozó felhasználó
könnyen tudja kezelni az UniCERT-et és csak azokat a funkciókat érhesse el, amelyekhez
jogosultsága van. Minimális tréning segítségével leredukálható a felhasználók
számára jelentkező, rendszerrel kapcsolatos problémák száma.
Skálázhatóság
Az UniCERT úgy lett kialakítva, hogy kis konfigurációtól (ahol egyetlen egy számítógépen
van a CA, RA és adatbázis) egészen nagy rendszerekig használható legyen. Egy nagy
rendszer esetében lehetséges több RA is, alárendelve több subCA-nak és egy gyökér
CA-nak, ahol minden RA-hoz saját operátor tartozik.
Kereskedelmi nyitottság
Cybertrust elkötelezte magát, hogy követi, befolyásolja és megvalósítja a PKI-n
belüli szabványokat, és folyamatosan támogatja harmadik felek termékeinek széles
körét. E célból az UniCERT ismert szabványokon alapul, (legfontosabb az X.509)
és bebizonyította, hogy harmadik fél termékeinek széles skálájával képes együtt
üzemelni.
Biztonság
Az UniCERT biztonságát az átfogó belső megbízhatóság és integritás adja és az,
hogy intelligens kártyák, hardver biztonsági modulok (HSM-ek) használhatók. Valamennyi
kommunikáció,
az adatbázisban és a felügyeleti naplókban lévő adatok aláírhatók.
Teljesítmény
Az UniCERT architektúrája lehetővé teszi a kiemelkedően magas teljesítményt,
amint beállításra kerülnek a CA, RA és az RA kicserélő klónjai, így biztosítva
a párhuzamos feldolgozást. Ráadásul, az UniCERT számít az Oracle-re, mint erőteljes,
csúcskategóriájú adatbázis szerverre.
English
