Применение алгоритмов шифрования с открытым ключом. Компоненты Windows 2000, обеспечивающие шифрование. Политики безопасности.
Операционная система Windows 2000 обладает развитыми средствами шифрования данных с открытым ключом, представляющими собой дальнейшее развитие служб шифрования информации Windows NT.
На данный момент Windows 2000 располагает интегрированным набором служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом. Это позволит независимым разработчикам программного обеспечения интенсивно применять в своих продуктах технологию общего ключа (shared key).
В то же время предприятия получают возможность создавать и поддерживать эффективные защищенные вычислительные среды, применяя для этого хорошо развитый и легкий в работе набор инструментов и механизмов обеспечения соблюдения политик безопасности.
Компоненты Windows 2000, обеспечивающие шифрование
На рис. 26.1 схематично показана логическая взаимосвязь средств Windows 2000, позволяющих применять шифрование с открытым ключом.
Изображенные на рис. 26.1 средства не обязательно должны размещаться на отдельных компьютерах. Несколько служб могут эффективно работать на одном компьютере. Ключевое звено схемы – служба сертификатов Microsoft (Microsoft Certificate Services). Она позволяет создать один или несколько ЦС предприятия, поддерживающих создание и отзыв сертификатов. Они интегрированы в Active Directory, где хранится информация о политике ЦС и их местоположении. Кроме того, с помощью Active Directory выполняется публикация информации о сертификатах и их отзыве.
Рис. 26.1. Взаимосвязь средств Windows 2000, предназначенных для работы с открытым ключом
Средства работы с открытым ключом не заменяют существующих механизмов доверительных отношений между доменами и аутентификации, реализованных с помощью контроллеров доменов и центров распространения: ключей Kerberos (Key Distribution Center, KDC). Напротив, данные средства взаимодействуют с этими службами, что позволяет приложениям безопасно передавать конфиденциальную информацию через Интернет и корпоративным глобальным каналам.
Поддержка прикладных средств шифрования информации с открытым ключом включена в состав программного обеспечения операционных систем Windows 2000, Windows NT, а также Windows 95/98. На рис. 26.2 показана структура служб, предназначенных для поддержки прикладных программ. Основой архитектуры поддержки прикладных программ шифрования информации с открытым ключом является библиотека CryptoAPI. Она позволяет работать со всеми устанавливаемыми поставщиками услуг шифрования (Cryptographic Service Providers, CSP) через стандартный интерфейс. CSP могут быть реализованы на программном уровне или с помощью специального оборудования. Они поддерживают различные длины ключей и алгоритмы шифрования.