Инфраструктура открытых ключей (PKI) в PKCS #11

Infineon Security Platform

Infineon Программное решение Security Platform

Инфраструктура открытых ключей (PKI) в PKCS #11

Стандарт PKCS #11 определяет интерфейс для создания, использования и администрирования сертификатов и криптографических ключей. Каждая реализация данного интерфейса предоставляет различный подход к лежащей в его основе технологии, поскольку PKCS #11 не имеет жестких указаний на криптографический маркер, используемый для базовых функций. На рынке существуют программные решения, основанные на программном обеспечении, а также на смарт-картах или специализированных криптографических модулях. Каждая совместимая с PKCS #11 библиотека реализует собственный способ включения такого рода специализированных устройств и методы их использования для создания и управления данными, связанными с криптографией.

Поскольку PKCS #11 определяет не привязанный к платформе интерфейс, существуют различные решения от широкого круга разработчиков и стандарт поддерживается на большом количестве платформ и операционных систем.

Библиотеки, совместимые с PKCS #11, предоставляют возможность использования своих функции, через хорошо разработанный интерфейс. В зависимости от основной цели реализации, библиотека PKCS #11 может поддерживать только часть данного интерфейса.

Для построения PKI, приложению, использующему модуль PKCS #11, требуется доступ к носителю информации постоянного хранения, предоставляющему защищенный и надежный способ хранения пользовательских сертификатов и закрытых ключей. PKCS #11 не предоставляет указаний об этом механизме. Часто используемый механизм, службы каталогов, доказали свою пригодность для этой функции. Доступ к такой службе каталогов, очень часто реализуется при помощи протокола LDAP (Lightweight Directory Access Protocol).

В Windows 2000 / XP отсутствует собственная библиотека PKCS #11, поэтому эта функция добавляется при помощи продуктов сторонних разработчиков. Программное обеспечение решения Infineon Security Platform включает в себя библиотеку, обеспечивающую работу интерфейса PKCS #11, которая использует Trusted Platform Module для выполнения большинства важных криптографических операций, таких как создание ключей.

В одной и той же системе могут использоваться несколько независимых реализаций данного стандарта. Обычно приложения, использующие такие библиотеки, должны быть дополнительно настроены, чтобы  корректно обращаться к соответствующим модулям.

Однако приложения, основанные на PKCS #11, тем не менее должны выполнять всю административную работу по предоставлению данных, необходимых для функционирования PKCS #11.

Разработчики приложений, могут полноценно использовать механизмы безопасности, основанные на открытых ключах, пользуясь различными модулями реализации PKCS #11, не внося изменения в платформу или программную систему в которой работают. Кроме того, предприятия также могут администрировать сетевое окружение и приложения при помощи одних и тех же инструментов и политик по всей организации.

Чтобы позволить другим пользователям читать зашифрованные сообщения или проверять подлинность подписанной электронной почты, пользовательские сертификаты должны храниться в открытом каталоге. Обычно этот каталог находится на сервере, доступном из данного подразделения организации.

 

Основными компонентами инфраструктуры открытого ключа, являются цифровые сертификаты, списки отзыва сертификатов и центры сертификации. Корпоративные администраторы должны убедиться в наличии инфраструктуры открытого ключа, прежде, чем начать использовать криптографию открытого ключа в своей сети.

Настройка PKI внутри организации включает в себя следующие шаги:

  • Установка сервера сертификатов
  • Определение стороннего certificate service provider.
  • Настройка Mozilla Firefox для использования библиотеки PKCS #11 Infineon Security Platform
  • Получение сертификатов от центра сертификации для подтверждения подлинности клиента

Данное руководство предоставляет вам обзор некоторых их вышеописанных шагов и ссылки на дополнительную информацию по данной теме.

После обновления программного обеспечения решения Security Platform приложения, которые используют данное решение через интерфейс PKCS#11, могут перестать правильно работать, так как файл DLL PKCS#11 (ifxtpmck.dll) теперь расположен в каталоге установки программного обеспечения решения Security Platform. В старых версиях продукта он находился в каталоге system32. Необходимо повторно настроить приложения на загрузку файла ifxtpmck.dll из нового места.

©Infineon Technologies AG