Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Figur 22 Scenariot är en enkel hierarkiskt struktur där användaren brukar en tjänst. Tjänsten är certifierad av en betrodd tredje part. PKI-lösnigen består antingen av enbart en root-CA eller en hierarki av CA- tjänster, så kallade underordnade CA (eng. subordinate CA). Genom att iföra underordnade CA så kan man skapa såväl avlastning, redundans och en teknisk lösning som möjligen mer är anpassad för organisationens struktur. En drivkraft för att införa underordnade CA är att geografiskt eller organisatoriskt spridda enheter själva skall ha möjlighet att påverka och administrera CAtjänsten. Figur 23 PKI hierarki med rot-CA och flera nivåer av underordnade CA När man bygger en hierarki av CA-tjänster går det att bygga en lösning där root-CA är bortkopplad, en så kallad off-line CA. Fördelen med denna typ av konstruktion är att CAn och all information som hör ihop med den är bortkopplad från nätet vilket försvårar angrepp och missbruk. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 98 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Figur 24 I detta scenario är CA-tjänsten som sådan avkopplad ifrån nätet som en extra försiktighetsåtgärd. Skall denna root-CA vara en organisationsintern CA eller skall man söka bygga en PKI som nyttjar en extern CA och som därmed kan fungera som en betrodd tredje part (trusted third party, TTP) vid extern kommunikation? Det beror på vilka krav och vilken säkerhetspolicy man har. Vid skapandet av en PKI-arkitektur kommer man för eller senare ställas inför behovet att kommunicera med andra PKIer utanför den egna sfären. Hur skall man då kunna lita på de certifikat som utställs i den andra PKIn? En lösning på detta är korscertifiering (eng. cross certification). Med korscertifiering så skapar man ett särskillt förtroendeförhållande mellan de två PKI-strukturerna där respektive CA skapar en överrenskommelse att lika på certifikat och nycklar på samma sätt som om man själv var utställare. Praktiskt innebär det att man skapar korscertifikat som utväxlas mellan de olika CA-tjänsterna och de två CA signerar varandras publika nyckel. Figur 25 Scenariot beskriver ett särskillt uppsatt förtroendeförhållande, en så kallad korscertifiering. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 99 (139)
Page 1 and 2:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 3 and 4:
Page 5 and 6:
Page 7 and 8:
Page 9 and 10:
Page 11 and 12:
Page 13 and 14:
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 97: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 139: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?