Протоколы безопасного сетевого взаимодействия
Протоколы безопасного сетевого взаимодействия
Введение
Требования к управлению PKI
Запрос инициализации
Ответ инициализации
Запрос регистрации/сертификации
Ответ регистрации/сертификации
Содержимое запроса изменения ключа
Содержимое ответа изменения ключа
Содержимое запроса восстановления ключа
Содержимое ответа восстановления ключа
Содержимое запроса отмены
Содержимое ответа отмены
Содержимое запроса кросс-сертификации
Содержимое ответа кросс-сертификации
Содержимое оповещения об изменении ключа СА
Оповещение сертификата
Оповещение об отмене
Оповещение о CRL
Содержимое подтверждения PKI
Содержимое общего сообщения PKI
Содержимое общего ответа PKI
Содержимое сообщения об ошибках
Синтаксис CertRequest
Синтаксис доказательства обладания
Использование МАС, основанного на пароле
Управление публикуемой информацией
Управление опциями архивирования
Схема LDAPv2 для инфраструктуры открытого ключа Х.509
Объекты репозитория PKI
Возможный транспорт
Протокол управления на основе файла
Протокол управления, основанный на ТСР
Протокол управления по e-mail
Протокол управления по НТТР
Протоколы управления по LDAP v2
LDAP чтение репозитория
Bind Request
Bind Response
Search Request
Search Response
LDAP поиск в репозитории
Search Request
LDAP модификация репозитория
Bind
ModifyRequest
Операции управления PKI
Инициализация конечного участника
Начальная регистрация/сертификация
Инициализация регистрации/сертификации
Начальная аутентификация сообщения конечного участника
Расположение генератора ключа
Подтверждение успешной сертификации
Обязательные схемы
Централизованная схема
Базовая схема аутентификации
Доказательство обладания (Proof of Possession – РОР) закрытым ключом
Ключи подписывания
Ключи шифрования
Ключи согласования ключа
Изменение ключа корневого СА
Действия оператора СА
Проверка сертификатов
Проверка в случаях 1, 4, 5 и 8
Проверка в случае 2
Неудачная проверка в случае 6
Отмена – изменение ключа СА
Кросс-сертификация
Односторонняя схема запроса-ответа
Запрос сертификата
Изменение ключа
Структуры данных
Полное сообщение PKI
Заголовок сообщения PKI
Тело сообщения PKI
Синтаксис CertReqMessage
Защита сообщения PKI
Общие структуры данных
Содержимое запрашиваемого сертификата
Зашифрованные значения
Коды статуса и информация о неудаче для PKI-сообщений
Идентификация сертификата
Опции архивации
Публикуемая информация
Структуры РОР
Example.18.1
Протоколы безопасного сетевого взаимодействия
Обзор протокола
Запрос
Ответ
Исключительные случаи
Семантики thisUpdate, nextUpdate и producedAt
Ответ Pre-production
Делегирование полномочий OCSP Responder'у
Компрометация ключа СА
Содержимое сертификата
Требования принятия подписанного ответа
Детали протокола
Запросы
Синтаксис запроса
Замечания о синтаксисе запроса
Синтаксис ответа
ASN.1 спецификация для OCSP ответа
Время
Отвечающие уполномоченные органы
Обязательные и дополнительные криптографические алгоритмы
Расширения
Nonce
Ссылки на CRL
Типы принимаемых ответов
Архивное хранение
Расположение сервиса
Обсуждение проблем безопасности
OCSP поверх НТТР
Введение
Политика сертификата
Примеры политики сертификата
Поля сертификата Х.509
Расширение CertificatePolicies
Расширение PolicyMappings
Расширение PolicyConstraints
Квалификаторы политики
Регламент практики сертификации
Взаимосвязь между политикой сертификата и регламентом сертификационной практики
Множество постановлений
Содержание множества постановлений
Введение
Общие постановления
Идентификация и аутентификация
Требования выполнения
Создание и инсталляция пары ключей
Защита закрытого ключа
Другие аспекты управления ключом
Данные активации
Управление безопасностью компьютера
Управление безопасностью жизненного цикла
Управление криптографическим модулем
Протоколы безопасного сетевого взаимодействия
Kerberos
Причины создания Kerberos
Kerberos версии 4
Простой аутентификационный протокол
Более безопасный аутентификационный протокол
Аутентификационный протокол версии 4
Области Kerberos
Kerberos версии 5
Различия между версиями 4 и 5
Аутентификационный протокол версии 5
Флаги билета
Протоколы безопасного сетевого взаимодействия
Введение
Общие механизмы расширений
Расширенный Client Hello
Расширенный Server Hello
Расширения Hello
Расширения в протоколе Рукопожатия
Используемые расширения
Указание имени сервера
Переговоры о максимальной длине фрагмента
URLs сертификата клиента
Указание доверенного СА
Урезанный НМАС
Запрос статуса сертификата
Alerts ошибок
Процедура определения новых расширений
Обсуждение проблем безопасности
Безопасность server_name
Безопасность max_fragment_length
Безопасность client_certificate_url
Безопасность trusted_ca_keys
Безопасность truncated_hmac
Безопасность status_request
Криптографические операции
НМАС и псевдослучайная функция
Протокол Записи
Состояния соединения
Уровень Записи
Фрагментация
Компрессия и декомпрессия
Защита полезной информации записи
Вычисление ключей
Протокол Рукопожатия TLS
Протокол изменения шифрования
Alert протокол
Сообщения закрытия
Alerts ошибок
Обзор протокола Рукопожатия
Протокол Рукопожатия
Сообщения Hello
Сертификат сервера
Сообщение сервера обмена ключа
Запрос сертификата
Server Hello Done
Сертификат клиента
Сообщение Client Key Exchange
Проверка целостности с помощью сертификата клиента
Сообщение Finished
Протоколы безопасного сетевого взаимодействия
Основные понятия
Ключи хоста
Возможности дальнейшего развития SSH
Интерактивные сессии
Открытие сессии
Запрос псевдо-терминала
Передача переменных окружения
Начало выполнения shell или команды
Передача данных сессии
Сообщение об изменении размеров окна терминала
Управление локальным потоком
Сигналы
Возвращаемый статус выхода
Запрос перенаправления порта
Обсуждение проблем безопасности
Определение политики безопасности
Размеры пакета и заголовка
Локализация и поддержка различных наборов символов
Способ именования объектов протокола
Введение
Установление соединения
Обмен версией протокола
Совместимость со старыми версиями SSH
Старый клиент, новый сервер
Новый клиент, старый сервер
Протокол бинарного пакета
Максимальная длина пакета
Компрессия
Шифрование
Целостность данных
Методы обмена ключа
Алгоритмы открытого ключа
Обмен ключа
Переговоры об алгоритме
Выход из обмена ключа
Принятие ключей в использование
Обмен ключа Диффи-Хеллмана
Повторный обмен ключа
Запрос сервиса
Дополнительные сообщения
Сообщение разрыва соединения
Обсуждение проблем безопасности
Обзор протокола аутентификации
Запросы на аутентификацию
Ответы на запросы аутентификации
Запрос на аутентификацию "none"
Завершение аутентификации пользователя
Баннерные сообщения
Метод аутентификации с использованием открытого ключа: publickey
Метод аутентификации с использованием пароля: password
Метод аутентификации на основе адреса хоста: hostbased
Обсуждение проблем безопасности
Протокол соединения
Общие запросы
Механизм канала
Открытие канала
Передача данных
Закрытие канала
Запросы, специфичные для канала
Протоколы безопасного сетевого взаимодействия
Введение
Цели разработки
Обзор системы
Как работает IPsec
Где может размещаться IPsec
Безопасные Ассоциации
Определения
Функциональности SA
Комбинации SA
Базы данных безопасной ассоциации
БД политики безопасности (SPD)
База данных Безопасной Ассоциации (SAD)
Примеры комбинаций SA
SA и Управление Ключом
Ручные технологии
Автоматические SA и Управление Ключом
Проблемы выполнения
Протоколы безопасного сетевого взаимодействия
Введение
Терминология ISAKMP
Фаза 1 аутентификации с Revised Mode шифрования открытым ключом
Фаза 1 аутентификации с Pre-Shared ключом
Фаза 2 – Quick Mode
New Group Mode
Информационные обмены ISAKMP
Обсуждение проблем безопасности
Фазы переговоров
Идентификация Безопасных Ассоциаций
Создание Token анти-препятствия ("Cookie")
Содержимые ISAKMP
Формат заголовка ISAKMP
Общий заголовок содержимого
Атрибуты данных
Содержимое SA
Содержимое Proposal
Содержимое Transform
Содержимое Key Exchange
Содержимое Identification
Содержимое Certificate
Содержимое Certificate Request
Содержимое HASH
Содержимое Signature
Содержимое Nonce
Содержимое Notification
Содержимое Delete
Содержимое Vendor ID
Используемая нотация
Обмены
IKE Фаза 1 с аутентификацией с помощью подписей
Фаза 1 аутентификации шифрованием открытым ключом