Инфраструктура Открытых Ключей является основой построения систем аутентификации пользователей при решении задач контроля доступа разной сложности.В сердце PKI находится так называемый Цифровой Идентификатор индивидуального пользователя.

Цифровая Идентичность - это по существу мандат, состоящий из двух частей:

1.     закрытого (личного) ключа, используемого владельцем для создания своей уникальной цифровой подписи

2.     открытого ключа пользователя, внедренного в его цифровой сертификат.

Сертификат пользователя с его открытым ключом может использовать каждый человек или компьютер для проверки цифровой подписи этого  пользователя или для кодирования сообщения, предназначенного для этого пользователя. Закрытый и открытый ключ составляют пару ключей, математически согласованную таким образом, что сообщение, закодированное с помощью одного ключа, может быть раскодировано только с помощью другого ключа из пары.

Цифровые сертификаты, хранящиеся в персональном идентификаторе, - это документы, подписанные сертификационным центром (Certificate Authority, CA) и содержащие информацию о пользователе. Цифровая подпись CA на сертификате пользователя имеет такое же значение, как и гербовая печать на паспорте гражданина, то есть - государство подтверждает подлинность этого документа и целостность сведений, указанных в нем. Доверительной стороной, подтверждающей подлинность цифрового сертификата, может выступать как третья организация (например, Verisign, Thawte и т. п.), так и сервер сертификатов, расположенный во внутренней корпоративной сети организации (например, Windows Certificate Services или NetWare NDS). CA несет ответственность за выдачу цифрового сертификата пользователю и последующие подтверждения его физической идентичности перед любым другим представителем сообщества. CA также обязан предоставлять сведения о состоянии сертификата пользователя (действующий, временно заблокированный или отозванный) любой запросившей стороне.

Центр сертификации обеспечивает централизованное создание, развертывание и выдачу цифровых идентификаторов, их отзыв и регенерацию в случае необходимости.Однако, во многих ранних PKI-системах наиболее уязвимый к компрометации закрытый ключ производился и сохранялся на рабочих станциях. Такая ситуация для многих организаций является неоправданным риском, связанным с кражей или потерей информации с рабочей станции. Ответом на это слабое звено стало создание и использование смарт-карт и аппаратных персональных идентификаторов SafeNet iKey, имеющих микропроцессор и защищенную память. Персональные идентификаторы iKey позволяют производить и обеспечивать безопасное хранение закрытых ключей. iKey также умеют производить все криптографические операции с закрытым ключом непосредственно внутри себя. Для доступа к функциям смарт-карты или персонального идентификатора пользователь должен предоставить свой персональный идентификационный номер (PIN), что предотвращает нелегальное использование закрытого ключа, хранящегося в украденных или утерянных смарт-карте или USB-ключе.

Итак, если цифровая подпись создаётся с помощью персональной смарт-карты или USB-ключа iKey в рамках должным образом используемой PKI - среды, предоставляется гарантия на то, что:

·         подпись может быть произведена исключительно персональной смарт-картой/ USB-ключом;

·         данный конкретный пользователь уполномочил свою смарт-карту/ USB-ключ на создание подписи.

Уверенность в том, что подпись каждого конкретного сотрудника может быть создана только смарт-картой/USB-ключом, принадлежащих этому сотруднику основывается на том, что никто, кроме этого сотрудника ни при каких обстоятельствах не может получить доступ к его закрытому ключу. Архитектура iKey разрабатывалась с учётом того, чтобы закрытые ключи были недоступны и с учётом того, что для создания цифровой подписи необходимо физическое владение персональным идентификатором iKey.

Популярные операционные системы - Windows с ее системой аутентификации по смарт-карте при входе пользователя на рабочую станцию или система Novell Netware с ее службой NetWare Modular Authentication Service (NMAS), могут использовать iKey для предотвращения несанкционированного доступа к сети, приложениям или данным. iKey, выполненные в виде USB-ключа не требуют специального устройства для считывания, а просто подключаются к  USB-порту компьютера, клавиатуры или даже мыши.

Задачи, которые решает iKey при использовании в PKI:

1.     Управление множеством ключей и сертификатов

2.     Поддержка большого количества бизнес-приложений, устройств и пользователей за доступную цену

3.     Выполнение требований внутренних и внешних политик безопасности

4.     Упрощает работу пользователей. 

 Построения PKI-системы

Фундаментом системы доверия к инфраструктуре с открытыми ключами является центр сертификации. Личным ключом центра подписывается каждый созданный сертификат, а все сертификаты пользователей генерируются на основе одного корневого сертификата с идентификационными данными самого центра. Получив доступ к цифровому сертификату пользователя, злоумышленник может скомпрометировать его персональные данные и все, что он делает. Компрометация же корневого сертификата удостоверяющего центра разрушает доверие не только к центру, но и ко всем пользователям, которые находятся в сфере его ответственности.

Устройство HSM Luna SA позволяет разграничить доступ нескольких администраторов, выполняющих различные функции и, соответственно, нуждающихся в доступе к различным ресурсам. 
Для безопасного хранения корневого сертификата удостоверяющего центра "СВІТ ІТ" предлагает семейство решений под названием Luna — Hardware Security Module (HSM). Устройство Luna Pin Entry Device устанавливается в сервер в виде платы PCI. Другой вариант системы позволяет делать резервную копию корневого сертификата. Сетевое решение Luna SA  рассчитано на крупных заказчиков, владеющих собственными центрами сертификации. Помимо хранения корневого сертификата с его помощью можно разграничить доступ к различным ресурсам для нескольких администраторов. При необходимости может быть создано до 20 разделов, функционирующих как 20 независимых HSM. В отличие от установки HSM на отдельный сервер, устройство различает, с какого сервера пришел запрос и к какому разделу следует предоставить доступ — в зависимости от конфигурации серверы могут хранить свои корневые сертификаты в разных разделах либо только в одном. Таким образом, Rainbow подготовила полное решение для развертывания PKI и хранения цифровых сертификатов как с серверной, так и с клиентской стороны.

Компания "СВІТ ІТ" поставляет на украинский рынок аппаратный модуль безопасности Hardware Security Module (HSM) производства THALES. Он предназначен для безопасного хранения криптографического материала и выполнения крипографических операций, выпускается в виде внутренней платы и как отдельное сетевое устройство высотой 1U или 2U. В числе прочих функций имеется система предотвращения несанкционированного вскрытия и кражи. В случае попытки проникновения внутрь или сильной тряски хранящаяся в нем информация гарантированно уничтожается. Взаимодействие с компьютерами может осуществляться через интерфейс PCI или по сети.

Для осуществления операций с ключами, хранящимися в HSM, можно реализовать схему доступа M of N: чтобы выполнить какую-то операцию с криптографическим материалом, защищенным набором из N смарт-карт, необходимо предъявить минимум M карт. Например, свои смарт-карты должны вставить в устройство три администратора из пяти.