Цифровая сертификация
Прежде всего, дорогие друзья, пользуясь возможностью, хочу Всех поздравить с Новым 2010 годом! Пусть он принесет Всем нам только хорошее.
Для всех заинтересованных лиц представляю статью из цикла «Управление открытыми ключами».Порядок издания сертификатов зависит, прежде всего, от того, являются ли издатели специальными компонентами ИУОК (таких издателей, по обыкновению, называют центрами сертификации – ЦС (Certificate Authorities – CA)), или это обычные пользователи ИУОК (на практике в одной системе могут сосуществовать обе категории издателей).
ЦС связывают определенными обязательствами перед пользователями (необязательно юридически закрепленными) относительно соблюдения определенной политики издания сертификатов, в то время как другие издатели (обычные пользователи) не имеют таких обязательств.
С целью соблюдения принятой политики издания сертификатов (т.е. для проверки правдивости сведений, которые предоставляются заказчиками сертификатов) из ЦС могут создаваться так называемые центры (или агенты) регистрации – ЦР (Registration Authorities, или Registration Agents – RA). Они выступают посредниками между заказчиками сертификатов и ЦС. Функцию проверки правдивости сведений, которые предоставляются заказчиками сертификатов, отделяют от ЦС вследствие того, что, в отличие от нее, функция собственного издания сертификатов довольно легко автоматизируется; поэтому ЦС – это автоматизированная программная или программно-аппаратная система, а в ЦР, как правило, работают люди; вдобавок, один ЦР может обслуживать несколько ЦС.
Обращаясь к издателю, пользователь предоставляет ему запрос на издание сертификата (издатель, который не является ЦС, может выдать сертификат и без запроса). Формат запроса зависит от политики, которой придерживается данный издатель. Как правило (по крайней мере, когда требуется идентификационный сертификат), запрос содержит открытый ключ и сведения о его владельце (идентификатор или несколько альтернативных идентификаторов) и является заверенным цифровой подписью, полученной с помощью секретного ключа, парного тома, который содержится в запросе. Эта подпись дает возможность издателю убедиться в том, что заказчик сертификата действительно является владельцем открытого ключа, который содержится в запросе.
Политика издания сертификатов должна требовать, по крайней мере, уникальности идентификаторов субъектов в пределах всей системы. С этой целью, по обыкновению, применяется доменная система именования субъектов (владельцев) сертификатов, причем каждому ЦС предоставляются полномочие выдавать сертификаты, только, в отдельных доменах.
ИУОК с центрами сертификации (и регистрации) более надежны (в частности, разрешают юридически регламентировать отношение между издателями и пользователями), а также более пригодны к расширению (доверие к неофициальному издателю едва ли может распространиться далеко за границы круга его знакомых). Между тем, возможность получить сертификат не путем официального обращения к ЦС (еще и за деньги), а от своего знакомого, есть довольно удобной во многих случаях.
Таким образом, характеризуя ту или иную ИУОК с точки зрения порядка издания сертификатов, следует ответить на следующие вопросы.
Могут ли обычные пользователи системы самостоятельно выдавать сертификаты? Имеет ли система центры сертификации? Что из себя представляет политика издания сертификатов? Является ли она дифференцированной для различных ЦС? Какая форма запроса к издателю? Как юридически оформлены отношения между издателями и пользователями?