PKI Implementation Issues:
A Comparative Study of Pakistan with some Asian Countries
Abstract
The paper includes Public Key Infrastructure (PKI), its need and requirements and introduction of some renowned PKI products. However, the major thrust of this work is that how PKI can enhance security of various systems. The paper is intended to serve as a guide on how to adequately prepare for some of the challenges that may be encountered especially in developing countries like Pakistan. The detail of PKI implementation issues is also included in the paper along with future challenges regarding implementation of PKI. Furthermore, paper includes technical issues hindering the implementation of PKI through comparison of PKI issues in Pakistan and some of Asian countries mainly Taiwan, Japan and Singapore. The paper also highlights the PKI issues and learnt lessons regarding PKI implementation and can act as a comprehensive guide for successful future PKI deployments.
1. Introduction
In contrast to physical world, internet is anonymous and it is very difficult to find out who is at the other end of the communication. PKI is a widely accepted global standard for Internet security today as the major challenges for online communication include establishing an online trust similar to physical marketplace and cacomunicatio binding contracts for online transactions. That is why information security is a wide area of interest for researchers today but the implementation of PKI is a challenge for most of the developing countries. Also to achieve interoperability it is a necessity that countries should establish PKI as per the widely accepted standards. This paper is an attempt to provide guidelines for PKI implementation and to investigate various issues in Pakistan and comparison of this analysis with some of the similar case studies of Asian countries mainly Taiwan, Japan and Singapore. Organization of the paper is as follows, the second section introduces cryptography, PKC and PKI with some of its products. In the third section, analysis of PKI status in Pakistan is explained. Fourth and fifth sections give background information of this survey, methodology and comparison with some of the Asian countries. Finally, conclusions drawn, few recommendations and future actions are given.
2. Cryptography
Cryptography is mostly associated with encryption/ decryption and there are two main categories of cryptography i.e. symmetric cryptography using a secret-key and asymmetric cryptography using a public key based encryption algorithms respectively The difference between these algorithms is that symmetric algorithms use the same key for encryption and decryption (or that the decryption key is easily derived from the encryption key), whereas asymmetric algorithms use a different key for encryption and decryption, and the decryption key can not be derived from the encryption key . Typical asymmetric algorithms compared in the forthcoming sections include DSA (Digital Signature Algorithm), Diffie-Hellman (DH), and RSA (Ron Rivets, Aid Shamir and Len Adleman). By using the characteristics of these symmetric and asymmetric algorithms various PKI products are developed by different vendors which are widely available in the market.
2.1 Public Key Cryptography (PKC)
Public Key Cryptography, also known as asymmetric cryptography, is a form of cryptography in which the key used to encrypt a message differs from the key used to
decrypt it. In PKC, a user has a pair of public key and private key. The private key is kept secret, while the public key may be widely distributed. Incoming messages are encrypted with the recipients public key and can only be decrypted with his/her corresponding key i.e. private key. The keys are related mathematically, but private key cannot be practically derived from the public key, mostly, asymmetric algorithms are used in PKC.
2.2. Public Key Infrastructure (PKI)
A framework for creating a secure method for exchanging information based on public key cryptography. The foundation of a PKI is the certificate authority (CA), which issues digital certificates that authenticate the identity of organizations and individuals over a public system such as the Internet. The certificates are also used to sign messages, which ensure that messages have not been tampered with. Due to these services provided by PKI many PKI products are developed and some of the renowned products are given in the forthcoming section.
2.3. Certification Authority (CA)
A certificate creates a relationship between an identity and a key pair. Now, an external entity is called into the game to formally state and guarantee the existence of that link. The idea is to build a trusted relationship with the authority. This authority is the responsible to validate the authenticity of certificate requests: to guarantee that the identity requested to be included in the certificate is the actual identity of the requester or the entity that will own and use the certificate.
For example, if someone is requesting a certificate with the name “Alice” in it, the certification authority is responsible for validating that it is actually Alice asking for it (and owning the corresponding keys) and not Bob. To document the involvement of the certification authority, the CA digital signature (generated with a private key) is added to the certificate as a proof. As the certification authority is also trusted by the other members of the PKI, verifying the CA signature on a certificate guarantees its authenticity and therefore the identity of its owner.
The CA is the most important link in a PKI system. If the CA is ever compromised, the entire PKI implementation can no longer be trusted. Further sections show how the C
剩余内容已隐藏,支付完成后下载完整资料
PKI实施问题:巴基斯坦与一些亚洲国家的研究比较
摘要
该文包括公钥基础设施(PKI),它的需求和要求,并引进了一些知名的PKI产品。然而,这项工作的主要重点是,PKI如何可以增强各系统的安全性。该文件在为如何充分地对一些可能特别是在发展中国家如巴基斯坦所遇到的挑战做好准备的指南。 PKI的执行问题的细节也被列入关于实施PKI的未来挑战的文件。此外,包括通过在巴基斯坦PKI问题和一些亚洲国家主要是台湾,日本及新加坡的比较阻碍PKI实施的技术问题。该文还强调了关于PKI实现PKI的问题和经验教训,并可以作为未来成功的PKI部署的综合指南。
1.简介
在对比物理世界中,互联网是匿名的,并且它是非常困难的,找出谁是在通信的另一端。PKI是当今互联网安全的一个普遍接受的全球标准,为网上交流的主要挑战包括:建立类似的物理市场和通信约束力的合同进行在线交易的网上信任。这就是为什么信息安全的研究人员今天关注的广域PKI的实施,是大多数发展中国家的一个挑战。另外要实现互联互通是,各国应建立PKI根据广泛接受的标准是必要的。本文就是试图为PKI实施准则,并探讨在巴基斯坦的各种问题,这分析,一些亚洲国家主要是台湾,日本及新加坡的类似案例的比较。本文的安排如下,第二部分介绍了密码学,PKC和PKA与它的一些产品。在第三部分,在巴基斯坦PKI状态的分析说明。第四和第五部分给出了本次调查,方法和对一些亚洲国家的背景信息。最后得出的结论,给出一些建议和未来行动。
2.加密
加密大多与加密解密和相关的有密码学使用两个主要类别,即对称密码密钥和通过使用基于公共密钥的加密算法分别这些算法之间的差别非对称加密是对称算法使用相同的密钥加密和解密(或解密密钥容易从加密密钥导出的),而非对称算法使用不同的密钥对加密和解密,及解密密钥不能被来自于加密密钥。在即将到来的部分比较典型的非对称算法包括DSA(数字签名算法),和RSA。通过使用这些对称和非对称算法的各种PKI产品的特性是由不同的供应商而被广泛使用,在市场的发展。
2.1.公钥加密(PKC)
公共密钥密码术,也被称为非对称加密,是加密系统的一个形式,其中键用于加密一个消息从用于密钥不同解密。在PKC,一个用户拥有一对公钥和私钥。私有密钥是保密的,而公共密钥可以被广泛地分布。收到的邮件进行加密,接收方的公钥,只能与IE浏览器的私钥他/她相应的密钥进行解密。被数学上相关的,但专用密钥实际上不能从公开密钥居多,非对称算法是在PKC使用而得。
2.2.公钥基础设施(PKI)
一个框架,用于创建基于公钥加密交换信息的安全方法。一个PKI的基础是证书颁发机构(CA),它会发出认证的组织和个人在公共系统中的身份(如Internet)的数字证书。的证书也用来签名消息,这确保消息没有被篡改。由于这些服务通过PKI公钥基础设施的许多产品所提供的开发和一些著名的产品,在即将到来的章节中给出。
2.3.证书颁发机构(CA)
证书创建一个身份和密钥对之间的关系。现在,外部实体被称为进入游戏正式声明并保证链路的存在。我们的想法是建立一个能与权限的信任关系。该机构是负责验证证书申请的真实性:保证身份的请求被包括在证书中的请求者或将拥有并使用该证书的实体的真实身份。
例如,如果有人请求一个名为“爱丽丝”在它的证书,证书颁发机构负责验证,它实际上是爱丽丝要求它(并拥有相应的键),而不是鲍勃。为了证明证书颁发机构的介入,CA数字签名(与私用密钥生成)被添加到证书作为证据。权威机构的认证,也信赖的PKI的其他成员,验证证书上的CA签名保证其真实性,因此,其主人的身份。
CA在一个PKI系统中最重要的环节。如果CA遭到盗用,整个PKI实现可以不再被信任。进一步节说明了如何在CA可以有效的保护,把风险降到最低。
正如你所看到的,CA的主要作用之一是保证建立信任关系。要做到这一点,该CA必须是信任的所涉及的PKI各方。根据PKI部署有针对性的范围和规模,可以区分两种类型的CA:私人和公共。
私有的CA是完全建立,运作,并通过有限的私人组织,通常一个公司甚至一个单独的部门在公司内保持。私人CA提供的服务仅适用于功能是公司内部的(或部门)。一种外部组件通常不认识或不信任的私人CA.每个人都可以选择部署自己的私有CA;然而,随后将在建立了信任关系的条款的限制。私人CA的主要优点是,它提供了你在结构方面完全自由(多级子CA的,例如)和证书的内容。(名称和属性可以被选择以适应要求。)甲专用的条件是免费的在这个意义上,没有订阅费,以创建或从中获取证书。主要的限制已经提到,并且信任关系是有限的;虽然,这总是可能的交联多个私有PKI。
公共CA,另一方面,是众所周知的,可到达的和可信在更全局的基础上(在互联网水平)。它们通常的,由专门的公司为它运行CA是核心业务维持。一些最流行的包括委托,全球注册。他们是如此广泛使用的相应的根证书默认情况下在流行的互联网Web浏览器安装。要使用他们的服务(也就是,从他们那里得到出具的证明),费用通常必须支付。证书(名称格式和属性)的内容通常更多的限制。越来越多的政府部门还设立了自己的CA,使公共服务和机构可以利用它们。在一些国家(比利时,例如),每个公民现在接收个人证书,通常存储在智能卡形式的个人身份证。
2.4.PKI产品
用不同的方式来获得PKI服务中,由于各种PKI产品和供应商提供。但事实是,我们没有可能解决PKI的所有十个问题中给出任何完美的和通用的解决方案。不过,我们可以像如何颁发证书,一些技术上的差异为基础区分这些产品,部署,维护和撤销。一些流行的公钥基础设施产品包括委托和RSA信息安全。
3.巴基斯坦 PKI状态
传统的协议签署订单等方法必须以电子方式复制。PKI提供要做到这一点的手段。正确处理所涉及的电子交易的法律含义是PKI实现最重要的部分。客户和业务绑定到合同是不可抵赖的行为。 PKI应该基于一些法律如部署数字签名应根据一些数字签名法,然后有人必须做出承担责任,如果出了问题产生。还一个公开性证明书的所有者不能否认与该适当签名密钥生成的签名。关于巴基斯坦PKI执行现有的法律地位的主要组件包括:
电子交易条例(ETO)2002年:要识别的数字文件,证书和签名等同于纸质文件和手写签名,但本条例一直没有定期更新。该法则承认任何电子格式的文件,而这些文件不得被剥夺法律效力和可实施的所有文件或数据。
电子犯罪法2004年:该法规定的法律为电子犯罪的惩罚和随行的事项。主要的问题是该法的定期更新的网络犯罪技术的不断获取成熟的。电子认证认可委员会(ECAC):ECAC规定,创造了信任,可预见性和确定性在该国的环境有利的法律和政策框架。 CA在巴基斯坦的工作:一是主要的CA在巴基斯坦的工作是成立于1995年年初国家机构促进技术(NIFT)正与威瑞信公司的合作伙伴,分享威瑞信CA服务。由奎德 - 型阿扎姆大学拥有的,颁发X.509数字证书使用安全的环境下网格资源。它提供大约10,000个巴基斯坦科学家在世界各地。
4.调查背景
我们调查了其国家和国际业务超过133名当地组织。另外,主要的重点是IT和电信/相关公司但在本文中,我们只包括这些组织PKI实现高达存在一定程度即,43%,26%,17%和14%有针对性的组织的金融、银行、政府、公共及电信部门分别属于它。
解释了这些55组织的20(36%)的组织还没有实现的PKI但计划在不久的将来,而35个组织(64%),以实现分别在PKI实现各种阶段。在这些35个组织,PKI实现为在20(57%)的进展而15(43%)组织已经完成PKI实现。
他们已经开发出自己的PKI应用组织的比例要低得多(25%)比哪个回答说,他们还没有开发出自己(75%),PKI的应用程序的百分比。这表明,大多数组织都服从时,参与了这个过程中的一些第三方。这是大多数多家IT部门的公司已经部署PKI在其各自的组织和提供这些解决方案,客户以及主要的原因之一。
5.对比分析
PKI已成为国际社会关注的对象,并做了很多工作,实现国家和国际标准的PKI,例如X.509。有,但是,可以采取不同的安全策略,实现与标准严重的PKI实现问题,不同的国家和不同的组织。这就提出了这些各种实现之间的互操作性的问题,尤其是在这样的方式建立一个全球信任域。亚洲PKI论坛是一个国际组织,成立于2001年6月建立PKI的互操作性在亚洲的目的。有七个国家,中国,日本,韩国,新加坡,香港,澳门,中华台北是这个亚洲PKI论坛的成员。在这些成员国的日本,新加坡,中华台北PKI论坛进行了PKI的调查,我们的调查主要是基于这些调查。我们分析中的PKI,应用,产品,在巴基斯坦实现PKI过程中所面临的挑战和障碍有以下几个方面的实施情况来看问卷的答复。根据我们的调查结果显示,台湾有优势,当涉及到PKI实现65%的台湾企业都具有将在新加坡,日本和巴基斯坦56%,42%和25%的组织已经分别实现PKI公钥基础设施。在巴基斯坦的PKI实现正处于初始阶段,由于缺乏技术知识。主要的原因是较高的PKI部署在台湾是由于合规性的法律和业务需求。这显然是表现为通过的贸易伙伴和法律要求,在台湾实施的要求是70%和29%,具有较高的比例相比,日本,新加坡和巴基斯坦。这表明,如果企业希望在台湾的生存更容易部署PKI相比,在日本,新加坡和巴基斯坦开展业务的组织。此外,PKI部署主要是做在巴基斯坦满足安全需求为实现PKI来满足安全要求的52%的组织。此外,在台湾和日本的PKI部署以满足安全要求,92%的组织在这两个国家都使用PKI来满足安全需求。
在台湾和新加坡实施的主要PKI协议是网络应用软件分别为76%和41%。此外,Web应用程序相比,日本和巴基斯坦更安全,台湾和新加坡。交叉认证,SSL协议几乎是同样在日本和台湾使用的,即分别为69%和73%。主要用于巴基斯坦组织PKI协议是安全的电子邮件,即40%,表明在巴基斯坦PKI主要用于安全的电子邮件通信。至于利用PKI功能来讲,企业在日本正在把更多的重点放在验证(100%),而在台湾和巴基斯坦的主要压力是不可抵赖性分别为92%和35%。而在新加坡,PKI的数据完整性功能主要是利用(32%)。当涉及到PKI品牌/供应商,台湾和巴基斯坦的组织更RSA(27%和31%),而在日本和新加坡威瑞信主要是分别采用即19%和60%。在台湾的主要障碍是唯一的PKI产品和解决方案(38%),有限的选项。
此外,台湾企业面临更多的问题,同时整合PKI实现与IE浏览器30%的现有IT基础设施的比例只有15%,16%和19%,在日本,巴基斯坦和新加坡分别。这说明企业在台湾部署PKI解决方案由于法律要求,而不是整合的困难。此外,65%的台湾企业已经实施PKI而相比之下,只有42%,日本的组织。但是,与台湾的主要好处是,更多的技术知识,可只有35%的组织说,他们还没有实现PKI由于缺乏对比技术知识,46%的日本企业承认缺乏技术知识。 PKI实施周期在台湾大为缩短。约40%的台湾人组织说,该周期结束在不到一年的时间相比,日本和新加坡(36%和34%)。而在巴基斯坦PKI实现循环需要更多的时间,因为巴基斯坦组织1至2年内完成PKI实现的40%。
最后,在台湾和巴基斯坦PKI实现的主要使用双键的利用率与安全需求和业务伙伴要求67%的组织在这两个国家链接是使用双键相比,只有8%,日本23%和新加坡分别。双密钥利用率的PKI实现更安全和更安全的方式,而53%和77%的组织在日本和新加坡使用单密钥对。我们可以有把握地说,实现PKI是比较成熟的,先进的,安全的在台湾,而不是在日本,新加坡和巴基斯坦。绝大多数认为,台湾将成为最有潜力的PKI技术互认的国家。
6.结论
巴基斯坦的PKI的调查表明,该技术还没有达到组织/用户的一个更宽的数目。主要的原因是,有没有市售的证书颁发机构(CA)在巴基斯坦。根据我们的调查结果,主要的原因是巴基斯坦的组织不会对PKI的实现是因为它的高性价比。 PKI被认为是为企业53%在巴基斯坦的跨境贸易的重要使用PKI与外国贸易伙伴进行通信。此外,大多数的组织计划在不久的将来实现PKI。此外,缺乏在这一领域的技术知识,也使得人们更难的认为PKI项目是可行的组织,因为它确实需要一些基本的技术知道如何使用它。在巴基斯坦IT业,银行和金融机构进行了大部分的部署PKI的百分比。而在其他领域的安全实施是不是一个优先事项,因为他们不认为这是一种必然。最后,交叉认证,SSL和安全电子邮件是PKI在巴基斯坦被认可的应用潜力尤其是对与外国合作伙伴进行交易。此外,网络安全的法律需要进行定期更新。但是,像巴基斯坦等国家也面临着很多的问题,执行这些法律,在全国各地尤其是电子商务法律电子交易,电子犯罪,数字签名,数字证书,数字取证等正处于实施初期阶段。最后,数字签名法仍然没有执行该国和接受的数字文件是不是在巴基斯坦的一个常态。然而,这种情况正在改善和几个公共和私营部门组织实施了倡议。
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[25317],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
