Red de conocimiento del abogados - Cuestiones jurídicas del divorcio - ¿Cómo se relacionan las claves públicas y privadas en criptografía?

¿Cómo se relacionan las claves públicas y privadas en criptografía?

PKI de infraestructura de clave pública

1. Descripción general de la infraestructura de clave pública

El éxito del negocio de una empresa depende en gran medida de si la empresa tiene un sistema de red seguro y confiable. Actualmente, la mayoría de los administradores de TI corporativos han adoptado algún tipo de esquema de cifrado y autenticación para sus sistemas de redes corporativas. Muchos administradores de redes corporativas utilizan la Web para proporcionar comercio seguro por Internet, redes privadas virtuales (VPN) y servicios de autenticación remota a sus empresas para que sus empleados remotos puedan acceder a las redes corporativas. Sin embargo, la mayoría de las tecnologías de seguridad actuales (como nombres de usuario y contraseñas, contraseñas de un solo uso y autenticación bidireccional) no son adecuadas para las necesidades de seguridad de las empresas, y estas tecnologías tradicionales suelen requerir diferentes medidas de mantenimiento y gestión.

Actualmente, cada vez más empresas necesitan utilizar redes para conectar sus sucursales y empleados remotos en todo el mundo, por lo que deben tomar las medidas de seguridad más efectivas para proteger los recursos empresariales. Sin embargo, el aumento de las precauciones de seguridad también genera más trabajo administrativo adicional. Afortunadamente, la infraestructura de clave pública (PKI) puede ayudar a las empresas a resolver este problema. Puede ayudarlas a establecer un sistema de gestión de red seguro y confiable. PKI es una solución de seguridad de red centralizada y fácil de administrar. Puede admitir varias formas de autenticación digital: cifrado de datos, firma digital, no repudio, autenticación de identidad, gestión de claves y certificación cruzada. PKI puede manejar todo el cifrado de datos y firmas digitales a través de un marco basado en autenticación. El desarrollo de estándares y protocolos PKI tiene una historia de 15 años. La PKI actual puede proporcionar una garantía de seguridad eficaz para las redes empresariales.

En términos de mecanismo operativo, se han unificado casi 50 estándares PKI en los últimos 15 años y los fabricantes han hecho esfuerzos incansables para resolver mejor la interoperabilidad de sus bases de datos back-end. PKI se compone de muchos componentes que realizan dos funciones principales: cifrar datos y crear certificados digitales. El producto servidor (backend) es el núcleo de este sistema. Estas bases de datos gestionan certificados digitales, claves públicas y claves privadas (utilizadas para el cifrado y descifrado de datos respectivamente). La base de datos CA (Autoridad de certificación) es responsable de emitir, revocar y modificar la información de certificación digital X.509, que incluye la clave pública del usuario, el período de validez del certificado y funciones de autenticación (como cifrado de datos o verificación de firma digital). Para evitar la manipulación de las firmas de datos, la CA debe autenticar cada firma digital antes de enviarla al cliente solicitante. Una vez que se crea un certificado digital, se almacena automáticamente en el directorio X.500, que es una estructura de árbol. El protocolo LDAP (Protocolo ligero de acceso a directorios) responderá a las solicitudes que envíen autenticación de clave pública almacenada. La CA genera dos pares independientes de claves públicas y privadas para cada usuario o servidor. Un par se utiliza para cifrar y descifrar información, y el otro par lo utilizan las aplicaciones cliente para crear firmas digitales en documentos o transmisiones de información.

La mayoría de las PKI admiten la distribución de certificados, que es el proceso de almacenar certificados emitidos o extendidos. Este proceso utiliza un mecanismo de consulta pública y el directorio X.500 puede completar automáticamente este proceso almacenado. Uno de los principales obstáculos que afectan la aceptación generalizada de PKI entre las empresas es la certificación cruzada entre diferentes CA. Digamos que hay dos empresas, cada una de las cuales utiliza CA de diferentes proveedores, y ahora quieren hospedarse mutuamente durante un período de tiempo. Si su base de datos de respaldo admite la certificación cruzada, entonces las dos empresas obviamente pueden alojar sus CA entre sí, de modo que todos los usuarios que alojan puedan hospedarse en las CA de ambas empresas.

2. Componentes básicos del sistema PKI

PKI es una plataforma de administración de claves que cumple con los estándares y que puede proporcionar de manera transparente a todas las aplicaciones de red servicios criptográficos como cifrado y firmas digitales. gestión de certificados. PKI debe tener componentes básicos como CA, biblioteca de certificados, sistema de recuperación y copia de seguridad de claves, sistema de procesamiento de invalidación de certificados y sistema de procesamiento de certificados de cliente. La construcción de PKI también girará en torno a estos cinco sistemas.

*Autoridad de certificación

CA es la autoridad emisora ​​del certificado y es el núcleo de PKI. Como todos sabemos, el contenido central de la construcción de un sistema de servicios criptográficos es cómo implementar la gestión de claves. Los sistemas de clave pública implican un par de claves, una clave privada y una clave pública. La clave privada solo la mantiene en secreto el titular y no es necesario transmitirla en línea, mientras que la clave pública es pública y debe transmitirse en línea. Por lo tanto, la gestión de claves de los sistemas de claves públicas es principalmente una cuestión de gestión de claves públicas. Una mejor solución en la actualidad es introducir un mecanismo de certificación.

El certificado es el medio de gestión de claves del sistema de clave pública. Es un documento electrónico autorizado, similar a una tarjeta de identificación en un entorno informático de red, que se utiliza para probar la identidad de un sujeto (como una persona, un servidor, etc.). ) y la legalidad de su clave pública. En un entorno de red que utiliza un sistema de clave pública, es necesario demostrar la verdadera legitimidad de la clave pública al usuario de la clave pública. Por lo tanto, en un entorno de sistema de clave pública, debe haber una organización confiable para certificar ante notario la clave pública de cualquier sujeto para demostrar la identidad del sujeto y su relación coincidente con la clave pública. La CA es una organización de este tipo y sus responsabilidades se pueden resumir de la siguiente manera:

1. Verificar e identificar la identidad del solicitante del certificado;

2. Garantizar la clave asimétrica utilizada por. la CA para firmar la calidad del certificado;

3. Garantizar la seguridad de todo el proceso de visa y la seguridad de la clave privada de la firma;

4. número de serie del certificado, identificación de CA, etc.

);

5. Determinar y verificar el período de validez del certificado;

6. Garantizar la unicidad de la identificación del sujeto del certificado y evitar la duplicación de nombres;

>7. Liberar y mantener el formulario de certificado no válido;

8. Registrar todo el proceso de emisión del certificado;

9.

El más importante de ellos es la gestión del par de claves propias de la CA, que deben mantenerse altamente confidenciales para evitar que otros falsifiquen certificados. La clave pública de la CA se hace pública en Internet y se debe garantizar la integridad de todo el sistema de red.

*Almacenamiento de certificados

El repositorio de certificados es un lugar de almacenamiento centralizado para certificados. Es similar a las "páginas blancas" de Internet. Es una biblioteca de información pública en Internet. Los usuarios pueden obtener los certificados y claves públicas de otros usuarios.

La mejor manera de crear un almacén de certificados es utilizar un sistema de directorio que admita el protocolo LDAP. Los usuarios o aplicaciones relacionadas pueden acceder al almacén de certificados a través de LDAP. El sistema debe garantizar la integridad del depósito de certificados y proteger contra la falsificación y manipulación de certificados.

*Sistema de recuperación y copia de seguridad de claves

Si el usuario pierde la clave utilizada para descifrar los datos, los datos de texto cifrado no se descifrarán, lo que provocará la pérdida de datos. Para evitar esta situación, PKI debe proporcionar un mecanismo para realizar copias de seguridad y restaurar las claves de descifrado. La copia de seguridad y la recuperación de claves deben ser realizadas por una organización confiable, como una CA que pueda desempeñar esta función. Vale la pena enfatizar que la copia de seguridad y recuperación de claves solo se pueden usar para claves de descifrado y no pueden respaldar la firma de claves privadas.

*Sistema de procesamiento de invalidación de certificados

El sistema de procesamiento de invalidación de certificados es una parte importante de PKI. Al igual que varios certificados en la vida diaria, es posible que el certificado deba caducar dentro del período de validez firmado por la CA. Por ejemplo, el empleado A de la empresa A dimite y abandona la empresa, lo que requiere finalizar el ciclo de vida del certificado A. Para conseguirlo, PKI debe prever una serie de mecanismos de revocación de certificados. Existen tres estrategias para la revocación de certificados:

1. Invalidar el certificado de uno o más sujetos;

2. Invalidar todos los certificados emitidos por un par de claves;

3. Invalidar todos los certificados emitidos por la CA.

La revocación de un certificado generalmente se logra al incluir el certificado en la CRL. Por lo general, en el sistema, la CA es responsable de crear y mantener una CRL que se actualiza de manera oportuna, y el usuario es responsable de verificar si el certificado está en la CRL al verificar el certificado. Las CRL generalmente se almacenan en sistemas de directorio. La revocación de certificados debe realizarse de forma segura y verificable, y el sistema también debe garantizar la integridad de la CRL.

* Sistema de interfaz de aplicación PKI

El valor de PKI es permitir a los usuarios utilizar cómodamente servicios de seguridad como cifrado y firmas digitales. Por lo tanto, una PKI completa debe proporcionar un buen sistema de interfaz de aplicaciones para que varias aplicaciones puedan interactuar con la PKI de manera segura, consistente y confiable, garantizando la credibilidad del entorno de red establecido y reduciendo los costos de administración y mantenimiento. Por último, el sistema de interfaz de la aplicación PKI debe ser multiplataforma.

En tercer lugar, se resumen las funciones de PKI. PKI debe proporcionar el siguiente soporte de seguridad para las aplicaciones:

* Los certificados y las CA deben implementar funciones básicas de administración de certificados, como CA, biblioteca de certificados y CRL.

*Copia de seguridad de claves y recuperación de certificados.

* Reemplazo automático de pares de claves Los certificados y claves tienen una vida útil determinada. Cuando la clave privada de un usuario se ve comprometida, el par de claves debe cambiarse; además, a medida que aumenta la velocidad de la computadora, la longitud de la clave debe crecer en consecuencia; Por lo tanto, una PKI debe proporcionar una nueva distribución y sustitución de claves totalmente automatizada (sin intervención del usuario).

*Validación cruzada

Cada CA solo puede cubrir un rango determinado, es decir, el dominio de la CA. Por ejemplo, diferentes empresas suelen tener sus propias CA y los certificados que emiten sólo son válidos dentro de la empresa. Cuando los usuarios que pertenecen a diferentes CA necesitan intercambiar información, es necesario introducir certificados cruzados y certificaciones cruzadas, que también es el trabajo que debe completar PKI.

*Separación de claves de cifrado y claves de firma

Como se mencionó anteriormente, los requisitos de administración de claves de las claves de cifrado y las claves de firma son contradictorios, por lo que PKI debe admitir el uso de claves de cifrado por separado. y firma de claves.

*Admite el no repudio de firmas digitales

Cualquier tipo de comercio electrónico es inseparable de las firmas digitales, por lo que PKI debe admitir el no repudio de firmas digitales y las firmas digitales no pueden negarse. Depende de la unicidad y confidencialidad de la clave privada de la firma. Para garantizar esto, PKI debe garantizar que las claves de firma y cifrado se utilicen por separado.

* Gestión del historial de claves

Cada vez que se actualiza la clave de cifrado, se debe archivar la clave de descifrado correspondiente para facilitar la recuperación futura de los datos cifrados con la clave anterior. Después de cada actualización de la clave de firma, la clave privada de firma anterior debe destruirse adecuadamente para evitar que se destruya su unicidad; la clave pública de verificación anterior correspondiente debe archivarse para verificación futura de firmas antiguas. Estas tareas deberían ser automatizadas por PKI.

En cuarto lugar, las perspectivas de desarrollo de los sistemas PKI.

Como se mencionó anteriormente, PKI es muy importante para el éxito de los negocios empresariales. Permite a las empresas tener una infraestructura de seguridad pública, una infraestructura integral. seguridad La infraestructura de la que depende la aplicación.

Muchos correos electrónicos seguros, aplicaciones empresariales de Internet, VPN y capacidades de firma única en la empresa dependerán de la autenticación X.509. PKI implementa una gestión unificada y centralizada de claves y certificaciones necesarias para el cifrado de datos, firmas digitales, antirepudio, integridad digital y autenticación.

Cada empresa puede beneficiarse de la solución de gestión estructurada de PKI. Desafortunadamente, hasta ahora sólo un puñado de industrias, incluidas la banca, las finanzas y los seguros médicos, han adoptado este sistema. Algunas empresas que son lo suficientemente valientes como para probar cosas nuevas, como Automotive Network Exchange (compuesta por varios de los mayores fabricantes de automóviles de Estados Unidos), ya están empezando a beneficiarse de esta tecnología de seguridad.

Se predice que cuando el negocio de las empresas se vuelva cada vez más dependiente de la Web, cada vez más empresas recurrirán a PKI para garantizar el manejo seguro de la información de los clientes. Sin embargo, hasta ahora, pocas empresas han adoptado PKI. Los problemas con la propia PKI son la razón principal que limita la adopción generalizada por parte de los usuarios. Debido a la falta de estándares unificados, muchas empresas estadounidenses están excluidas de las iniciativas PKI. De hecho, ya existen estándares bastante maduros para el desarrollo de productos PKI. La falta de una buena interoperabilidad es también uno de los principales obstáculos para la adopción generalizada de PKI. Antes de que los proveedores de PKI puedan soportar todos los estándares, muchas empresas necesitarán utilizar kits de herramientas patentados en sus clientes, lo que también limitará en gran medida la rápida popularidad de PKI.

Sin embargo, el principal obstáculo para la adopción generalizada de PKI sigue siendo la complejidad de su diseño e implementación. Sin embargo, se predice que a medida que los proveedores de PKI se unifiquen y fusionen gradualmente, el proceso de implementación de PKI será cada vez más simple. Si la complejidad de la implementación lo desanima, puede subcontratar los sistemas de su empresa a un proveedor externo.

Muchos proveedores autorizados de soluciones de autenticación (como VeriSign, Thawte y GTE) actualmente ofrecen PKI subcontratada. El mayor problema de la subcontratación de PKI es que los usuarios deben confiar sus empresas a un proveedor de servicios, lo que significa renunciar al control sobre la seguridad de la red. Si no desea hacer esto, puede configurar una PKI privada. Las soluciones dedicadas suelen combinar varios productos de servidor de Entrust, Baltimore Technologies y Xcert con productos de proveedores de aplicaciones convencionales como Microsoft, Netscape y Qualcomm. La PKI privada también requiere que las empresas inviertan muchos recursos financieros y materiales en la preparación de la infraestructura.

Para aquellas industrias de alto riesgo (como la banca, las finanzas y los seguros), la PKI es crucial para sus necesidades de seguridad a largo plazo en los próximos 10 años. Con la popularización generalizada de la tecnología PKI, su implementación será más sencilla y el costo disminuirá gradualmente. Debido a que PKI se ha convertido recientemente en una solución de seguridad viable, la tecnología aún necesita más mejoras. Si su empresa no puede esperar a que esta tecnología madure, adoptela ahora porque sus capacidades actuales son suficientes para satisfacer la mayoría de las necesidades de seguridad de la empresa promedio.

上篇: ¿La clasificación de la Oficina Nacional de Patentes es un tipo de patente? Por ejemplo, ¿invenciones, modelos de utilidad y patentes de diseño? 1. Publicación de la solicitud de patente de invención La publicación de la solicitud de patente de invención significa que la Oficina Estatal de Propiedad Intelectual publicará la descripción y el resumen registrados en la solicitud en el boletín de patentes de invención, y publicará la descripción y el anexo de la misma. la solicitud de patente de invención. El texto completo de los dibujos y las reivindicaciones se publican por separado. La ley de patentes de mi país estipula diferentes métodos de divulgación para las solicitudes de patentes de invención y las solicitudes de patentes de modelos de utilidad y diseños. Las solicitudes de patentes de invención se publicarán al vencimiento de los 18 meses siguientes a la fecha de la solicitud; las solicitudes de patentes de modelos de utilidad y de diseño se publicarán tras el anuncio de la autorización. La razón es que las solicitudes de patentes de invención deben pasar por un examen sustantivo y el período de examen es largo. Si el contenido de la solicitud se divulga después de completar el examen de fondo, la posibilidad de que se repitan investigaciones, inversiones y solicitudes sobre el mismo tema aumentará considerablemente y el papel del sistema de patentes no se ejercerá plenamente. Por otro lado, si la divulgación es posterior, el solicitante tendrá más tiempo para tomar una decisión final sobre si divulga su tecnología o se prepara para la divulgación de la tecnología. El período de publicación de las solicitudes de patente de invención es de 18 meses, basándose principalmente en las siguientes consideraciones: después de que el solicitante presenta por primera vez una solicitud de patente en un país extranjero, todavía disfruta de un período de prioridad de 12 meses en China y no se le permite presentar una solicitud de patente. solicitud de patente en China antes de la expiración de este período. Pero después de que presente una solicitud de patente en China, la Oficina Estatal de Propiedad Intelectual tardará algún tiempo en realizar un examen preliminar y publicarla, por lo que se estipula que será de 18 meses. Esta es una práctica adoptada por la mayoría de los países del mundo y es un período razonable después de la práctica. En segundo lugar, el examen preliminar de una solicitud de patente de invención es un examen del contenido de los documentos de la solicitud y es un procedimiento necesario entre la aceptación de la solicitud y su publicación. El alcance del examen preliminar involucra principalmente los siguientes aspectos: (1) Examen de defectos sustanciales obvios. Los defectos sustantivos obvios que deben revisarse incluyen: si el objeto de la solicitud de patente de invención obviamente no es una invención estipulada en la Ley de Patentes y sus normas de aplicación, si el objeto de la solicitud de patente de invención viola obviamente las leyes nacionales, la ética social o; perjudica los intereses públicos; si el contenido claramente cae dentro del ámbito para el cual no se otorgan derechos de patente, y si la solicitud claramente no cumple con el requisito de unidad de invención. Durante el examen preliminar, cuando el examinador requiere que el solicitante modifique la solicitud de publicación, si las modificaciones propuestas por el solicitante exceden obviamente el alcance registrado en la descripción y las reivindicaciones originales, y si la redacción de la descripción y las reivindicaciones obviamente no cumple con la normativa pertinente. En principio, el examen preliminar no examina cuestiones de fondo. Los defectos de fondo antes mencionados deben limitarse a aquellos que sean “obvios” y afecten la publicación. (2) Revisar los asuntos del solicitante y de la agencia. (3) Examinar si los documentos de solicitud presentados por el solicitante y otros documentos relacionados con la solicitud de patente cumplen con los requisitos formales estipulados en la Ley de Patentes y sus reglamentos de desarrollo. (4) Examen de algunas solicitudes de patentes especiales. Examen especial de solicitudes divisionales o solicitudes que involucren materiales biológicos que requieran conservación. (5) Deliberación sobre otros temas. Por ejemplo, las solicitudes de patentes de invención aceptadas por la Oficina Estatal de Propiedad Intelectual que involucran secretos de defensa nacional y deben mantenerse confidenciales deben entregarse a las autoridades competentes pertinentes para su revisión e investigación. 3. Examen sustantivo de las solicitudes de patentes de invención Mi país implementa un sistema de examen sustantivo para las solicitudes de patentes de invención, lo que significa no sólo un examen preliminar sino también un examen sustantivo. El examen de fondo significa que la Oficina Estatal de Propiedad Intelectual estudia cuidadosamente los documentos de solicitud de la solicitud de patente de invención, busca invenciones que necesitan protección, determina si la solicitud cumple con las disposiciones de la Ley de Patentes y sus reglas de implementación, especialmente las disposiciones sobre patentabilidad, y finalmente toma una decisión La decisión de conceder una patente. El procedimiento de examen de fondo comienza cuando el departamento de examen de fondo de la Oficina Estatal de Propiedad Intelectual recibe los documentos de solicitud enviados por el departamento de examen preliminar y finaliza con una notificación de concesión del derecho de patente de invención o una decisión de rechazar o retirar la solicitud. El contenido del examen de fondo incluye principalmente: (1) Si el objeto de la solicitud de patente es una invención en el sentido de la Ley de Patentes y su Reglamento de Aplicación, y si entra dentro del ámbito en el que no se pueden conceder derechos de patente. (2) Si el objeto de la solicitud de patente viola las leyes nacionales, la ética social o perjudica los intereses públicos. (3) Si la solicitud de patente cumple con el requisito de unidad de invención. (4) Si la solicitud de enmienda o división del solicitante excede el alcance registrado en la descripción original (incluidos los dibujos) y las reivindicaciones. (5) Al solicitar prioridad, si se descubre que otra persona ha presentado otra solicitud de patente sobre el mismo tema entre la fecha de prioridad y la fecha de presentación, o si una búsqueda encuentra que se han publicado documentos comparativos relevantes durante este período, el La prioridad debe revisarse para determinar si se establece la reclamación correcta. (6) Con base en los documentos comparativos recuperados, determine si la solución técnica reivindicada en la solicitud de patente de invención es novedosa y creativa, y determine si la invención reivindicada es práctica. (7) Si la descripción proporciona una descripción clara y completa de la invención requerida para la solicitud de patente de invención, de modo que una persona experta en el campo relevante pueda realizarla. (8) Si la reivindicación establece de forma clara y concisa el alcance de la protección solicitada, si la reivindicación se basa en la descripción y si la reivindicación independiente incluye las características técnicas necesarias para resolver el problema técnico que debe resolver la invención. Algunas de las cuestiones sustantivas mencionadas anteriormente se abordaron en el examen preliminar, pero éste solo resolvió las deficiencias sustantivas obvias, que se examinarán más a fondo en el examen sustantivo. Cuatro. 下篇: Principio de recolección de calor del calentador de agua solar