Embed Size (px)
DESCRIPTION
Citation preview
Криптография для бизнеса
Алексей ГолдбергсЭксперт по технологиям ИБMicrosoft Россия
«Сама по себе криптография довольно бесполезна. Она должна быть частью гораздо более крупной системы.»
«Практическая криптография»Н.Фергюсон, Б.Шнайер
Права доступа (ACL)
Авторизованные пользователи
Периметр сети
Неавторизованные пользователи
Авторизованные пользователи
Неавторизованные пользователи
Да
Утечка информации
Проблема утечки информации
Защита встроена в документы
+Шифрование Политики: • Права доступа• Права использования
AD Rights Management Services(AD RMS)
Контроль доступа к информации на всем жизненном цикле документов
Права на доступ к документу следуют за документом Автор документа назначает права доступа непосредственно
внутри документа / сообщения Автор документа может определять кто может просматривать,
редактировать, распечатывать и пересылать сообщение Ограничение доступа только авторизованным пользователям Организация может создавать свои шаблоны политик AD RMS
Автор документа Получатель
1. Автор получает сертификаты
2. Автор определяет права доступа к документу и автоматически создает “Лицензию публикации” для документа (файл при этом шифруется)
3. Автор распространяет документ
4. При открытии документа получателем приложение соединяется с AD RMS сервером, который проверяет полномочия пользователя и выпускает “Лицензию использования”
5. Приложение отображает содержимое документа в соответствии с разрешениями получателя
14
352
Принцип работы AD RMS
12wE34FNr12wE34FNr
Server bootstrapping
SLC
DPAPI
Secproc_ssp.dll
Config DB
Private key
Public key
12wE34FNr12wE34FNr
Client bootstrappingMachine Activation
SPC
DPAPI & RSAVault
Secproc.dll Private key
Public key
Secproc.dll
Client bootstrappingПолучение Rights Account Certificate (RAC)
Клиент AD RMS Сервер AD RMS
SPC
Private key Public key
Machine Public
key
Server Private key
RAC
SPC
Copy of key pair
RAC
Client bootstrappingПолучение Client Licensor Certificate (CLC)
Клиент AD RMS Сервер AD RMS
RAC
Private key Public key
RAC Public key
CLC
RAC
CLC
SLC
Server Private key
Защита документаRMS Protected Document
Server Public
key
CLC Private key
CLC
Чтение документа
Use License
Клиент
Сервер
?
RAC
Server Private key
RMS Protected Document
CLC
RMS Protected Document
CLC
Use LicenseRAC
Пример EUL
<SIGNATURE><ALGORITHM>RSA PKCS#1-V1.5</ALGORITHM><DIGEST>
<ALGORITHM>SHA1</ALGORITHM><PARAMETER name="codingtype">
<VALUE encoding="string">surface-coding</VALUE>
</PARAMETER><VALUE encoding="base64"
size="160">TENsCJfTlMgA94REwqpnczUGPCc=</VALUE></DIGEST>
<VALUE encoding="base64" size="1024">he99DkyPaJhMnogWNjsxfhXg0eBbI+mM3ZNXSpL/9lin/4Wuru7pHSH3CAnRxG+f+dGWlEEJiYK90b6b6LfQxF6rzLXoS9SKLV1uSvl0FS9mPuHbLLkhSWjPeF8KJbOxx3FmpMotFuFhFbq5sEkCkysmzxmmKnhny9w2dduHzVY=</VALUE></SIGNATURE>
Структура защищенного документа
Информацияо правах
Ключшифрованиясодержимого
Зашифрован на открытом ключе
сервера
Лицензия публикации
Содержимое документа(текст, графика и т.д.)
Лицензия использования
Ключшифрованиясодержимого
Праваконкретного
пользователя
Зашифрован на открытом ключе пользователя
Создается при защите
документа
Выдается сервером после аутентификации
получателя
Зашифрован на ключе
шифрования содержимого (AES 128-бит)
Зашифрован на открытом ключе
сервера
Зашифрован на открытом ключе пользователя
SLC
Issuer
Pub key
Signature
CLC
Issuer
Prv key
Signature
Pub keyEncrypted with
Encrypted with
Issuer is
PL
Issuer
Signature
Content key
Issuer is
Issuer is
Encrypted with
UL
Issuer
Signature
Content key
Issuer is
Encrypted with
SPC
Issuer
Pub key
Prv key
Signature
DPAPI &RSAVault
Issuer
Prv key
Signature
Pub key
RAC
Перерыв?
Сброс паролей и обработка запросов на
предоставления доступа через службу поддержки
Сброс паролей и обработка запросов на
предоставления доступа через службу поддержки
Компания обслуживает учетные записи сотрудников
Партнера
Компания обслуживает учетные записи сотрудников
Партнера
Множество удостоверений, ограниченная
поддержка
Множество удостоверений, ограниченная
поддержкаПрикладные системы используют разнообразные
методы аутентификации пользователей
Прикладные системы используют разнообразные
методы аутентификации пользователей
Решение для удаленного доступа с
отдельным хранилищем учетных данных
Решение для удаленного доступа с
отдельным хранилищем учетных данных
Партнер обслуживает учётные записи
сотрудников компании
Партнер обслуживает учётные записи
сотрудников компании
Claims-Based AuthN (CBA)
Доверяющая сторона - Приложение: запрашивает утверждения и использует их для создания контекста пользователя
Поставщик утверждений - Сервис маркеров доступа (STS): аутентифицирует субъект, выпускает маркеры доступа
Отношения доверия: контекст, в котором существуют утверждения Утверждения: набор высказываний Поставщика утверждений о
субъекте
Поставщик утверждений
(Сервис маркеров доступа)
Поставщик утверждений
(Сервис маркеров доступа)
2. Получение
утверждения3.
Предоставление утверждений
1. Запрос утверждений
СубъектСубъект
Доверяющая сторона
(потребитель утверждений)
Доверяющая сторона
(потребитель утверждений)
Federation TrustFederation TrustFederation TrustFederation Trust
Типовой сценарий
Получатель
Resource Federation Server
Сервер AD RMS
Active Directory
Account Federation Server
«Сама по себе криптография довольно бесполезна. Она должна быть частью гораздо более крупной системы.»
«Практическая криптография»Н.Фергюсон, Б.Шнайер
Вместо заключения
Вопросы
Алексей ГолдбергсАлексей ГолдбергсЭксперт по технологиям ИБ, Microsoft РоссияE-mail: [email protected]: http://blogs.technet.com/securityrusTwitter: @AlexGoldbergs
