Infrastruktura veřejných klíčů (PKI) ve standardu PKCS #11

Infineon Security Platform

Řešení Infineon Security Platform

Infrastruktura veřejných klíčů (PKI) ve standardu PKCS #11

Standard PKCS #11 definuje společné rozhraní pro vytváření, používání a spravování certifikátů a šifrovacích klíčů. Každá implementace tohoto rozhraní představuje jiný přístup k ústřední technologii, protože standard PKCS #11 neobsahuje žádné prohlášení týkající se šifrovacího tokenu zajišťujícího základní funkce. Na trhu existují různá řešení založená na software, čipových kartách nebo na speciálních hardwarových šifrovacích modulech. Každá knihovna odpovídající standardu PKCS #11 implementuje svůj vlastní způsob začlenění těchto speciálních zařízení a také způsob jejich využívání k vytváření a zpracování příslušných šifrovaných dat.

Jelikož standard PKCS #11 definuje rozhraní nezávislé na platformě, existuje mnoho různých řešení od různých výrobců a tento standard je podporován na mnoha platformách a operačních systémech.

Knihovny kompatibilní se standardem PKCS #11 poskytují své funkce pomocí jasně definovaného rozhraní. Podle primárního cíle dané implementace může knihovna PKCS #11 podporovat pouze část tohoto definovaného rozhraní.

Při vytváření infrastruktury veřejných klíčů vyžadují aplikace využívající modul PKCS #11 přístup do trvalého úložiště, zajišťujícího zabezpečené a spolehlivé uložení dat uživatelských certifikátů a soukromých klíčů. Standard PKCS #11 neobsahuje žádné prohlášení týkající se mechanizmu úložiště. Jedinou možností zajištění požadovaných funkcí je běžně používaný mechanizmus adresářových služeb. Přístup do těchto adresářových služeb je velice často realizován pomocí protokolu LDAP (Lightweight Directory Access Protocol).

Systémy Windows 2000 / XP neobsahují vlastní knihovnu PKCS #11, takže její funkce musejí být dodány v rámci produktů od jiných výrobců. Řešení platformy Infineon Security Platform obsahuje knihovnu implementující rozhraní PKCS #11, které pomocí čipu Trusted Platform Module provádí ty nejdůležitější šifrovací operace, jako je například generování klíčů.

Ve stejném systému se nachází řada nezávislých implementací tohoto standardu. Je běžné, že u aplikací používajících tyto knihovny je nutné provést jeden krok konfigurace navíc, aby byl zajištěn jejich správný přístup do odpovídajících modulů.

Aplikace založené na standardu PKCS #11 musejí nicméně implementovat veškerou administrativní práci potřebnou k získání dat nutných k zajištění funkcí rozhraní PKCS #11.

Vývojáři programu mohou využít již hotové zabezpečovací mechanizmy založené na veřejných klíčích použitím různých implementačních modulů standardu PKCS #11, aniž by museli provádět jakékoliv změny v platformě nebo v softwaru, na kterém pracují. Podniky tak mohou spravovat svá prostředí a své aplikace pomocí nástrojů a zásad konzistentních pro celou organizaci.

Aby mohli ostatní uživatelé číst šifrované zprávy nebo ověřovat podepsané e-maily, musejí být uživatelské certifikáty uloženy ve veřejném adresáři. Tento adresář se obvykle nachází na serveru dosažitelném zevnitř příslušné organizační jednotky.

 

Mezi základní součásti infrastruktury veřejných klíčů patří digitální certifikáty, seznamy odvolaných certifikátů a certifikační autority. Podnikoví správci musejí zajistit, aby byla infrastruktura veřejných klíčů vytvořena ještě předtím, než začnou v síti používat šifrování využívající veřejné klíče.

Infrastrukturu veřejných klíčů můžete v organizaci nastavit následujícím způsobem:

  • Instalace certifikačního serveru
  • Definování nezávislého poskytovatele certifikačních služeb
  • Konfigurace aplikace Mozilla Firefox pro používání knihovny PKCS #11 platformy Infineon Security Platform.
  • Získání certifikátů pro ověřování klientů od certifikační autority

Tato příručka obsahuje přehled některých výše uvedených položek a také odkazy na podrobnější informace týkající se těchto témat.

Po provedení upgrade softwaru Security Platform Solution nemusejí aplikace používající řešení Security Platform Solution pomocí rozhraní PKCS#11 fungovat správně, protože soubor PKCS#11 DLL (ifxtpmck.dll) se nyní nachází v instalačním adresáři softwaru Security Platform Solution. V předchozích verzích tohoto produktu se nacházel v adresáři system32. Je nutné změnit konfiguraci těchto aplikací tak, aby načítaly soubor ifxtpmck.dll z nového umístění.

©Infineon Technologies AG