На рис. 26.1 схематично показана логическая взаимосвязь средств Windows XP, позволяющих применять шифрование с открытым ключом.
Изображенные на рис. 26.1
средства не обязательно должны размещаться на отдельных компьютерах. Несколько
служб могут эффективно работать на одном компьютере. Ключевое звено схемы —
служба сертификатов Microsoft (Microsoft Certificate Services). Она позволяет
создать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов.
Они интегрированы в Active Directory, где хранится информация о политике ЦС
и их местоположении. Кроме того, с помощью Active Directory выполняется публикация
информации о сертификатах и их отзыве.
|
Рис 26.1. Взаимосвязь средств Windows XP, предназначенных для работы с открытым ключом |
Средства работы с открытым ключом не заменяют существующих механизмов доверительных отношений между доменами и аутентификации, реализованных с помощью контроллеров доменов и центров распространения: ключей Kerberos (Key Distribution Center, KDC). Напротив, данные средства взаимодействуют с этими службами, что позволяет приложениям безопасно передавать конфиденциальную информацию через Интернет и корпоративным глобальным каналам.
Поддержка прикладных средств
шифрования информации с открытым ключом включена в состав программного обеспечения
операционных систем Windows XP, Windows NT, а также Windows 95/98. На рис.
26.2 показана структура служб, предназначенных для поддержки прикладных программ.
Основой архитектуры поддержки прикладных программ шифрования информации с открытым
ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми
поставщиками услуг шифрования (Cryptographic Service Providers, CSP)
через стандартный интерфейс. CSP могут быть реализованы на программном уровне
или с помощью специального оборудования. Они поддерживают различные длины ключей
и алгоритмы шифрования. Как видно на рис. 26.2, один из CSP поддерживает смарт-карты.
Услугами служб шифрования пользуются службы управления сертификатами. Они соответствуют
стандарту Х.509 v3 и позволяют организовывать принудительное хранение, службы
подсчета и дешифрования. Кроме того, эти службы предназначены для работы с различными
отраслевыми стандартами сообщений. В основном они поддерживают стандарты PKCS
и разработанный в IETF (Internet Engineering Task Force) набор предварительных
стандартов PKIX (Public Key Infrastructure, X.509).
Рис 26.2. Службы средств шифрования информации с открытым ключом,
поддерживающие прикладные программы
|
Остальные службы используют CryptoAPI для придания дополнительной функциональности прикладным программам. Защищенный канал (Secure Channel) поддерживает сетевую аутентификацию и шифрование в соответствии со стандартными протоколами TLS и SSL, обращение к которым может быть выполнено с помощью интерфейсов Microsoft Winlnet и SSPI. Служба Authenticode предназначена для проверки и подписи объектов и в основном используется при получении информации через Интернет.
В состав программного обеспечения
служб поддержки прикладных средств шифрования входит поддержка интерфейса, предназначенного
для работы со смарт-картами. Они используются для регистрации на компьютере
и в сети Windows XP.