• Категории
  • Подписка
  • Разместить статью
24/05/10 3 1980 Управление открытыми ключами
-

Идентификационные цифровые сертификаты

Продолжаем тему цифровых сертификатов, и не забываем читать предыдущие статьи, последняя — «Распределение криптографических ключей«. И так приступим.

При распределении открытых ключей важно обеспечить их аутентичность, т.е.:

  • защита от несанкционированной модификации (подмены) при передаче;
  • защита от фабрикации (аутентичность источника поступления (владельца)).

При отсутствии общих секретных ключей чаще всего применяются такие способы безопасной транспортировки открытых ключей корреспондентам, как:

  • непосредственная передача при встрече;
  • передача через незащищенный канал связи, но со следующей сверкой контрольной суммы ключа (уже используя относительно безопасный канал связи, например, по телефону);
  • передача через доверенную третью сторону.

Первые два способа предусматривают использование тех или иных обходных (out-of-band) путей обмена информацией между корреспондентами. Это далеко не всегда удобно и даже возможно. Только при третьем способе корреспонденты могут обойтись без этого. Например, если доверенная третья сторона заверит принадлежность открытого ключа одного из корреспондентов своей цифровой подписью, полученный в результате электронный документ (цифровой сертификат) будет защищен как от несанкционированных модификаций, так и от фабрикации, и потому может быть транспортирован второму корреспонденту через незащищенный канал связи. Правда, чтобы воспользоваться такой услугой, второй корреспондент должен уже иметь аутентичный открытый ключ третьей стороны. Однако, один раз его получив (возможно, с применением обходных путей), этот корреспондент может пользоваться им для получения открытых ключей многих своих корреспондентов (не используя при этом обходных путей информационного обмена, т.е. in-band). Рассмотрим этот способ распределения открытых ключей подробнее.

Наиболее популярным способом распределения открытых ключей является распределение с помощью цифровых сертификатов, точнее – идентификационных (identity) цифровых сертификатов. При этом открытые ключи доставляются корреспондентам в виде (идентификационных) цифровых сертификатов. Аутентификация открытых ключей осуществляется путем проверки действительности сертификатов их получателями.

Понятие цифрового сертификата очень размыто. Практически любой электронный документ, который что-то о ком-то сообщает, можно назвать цифровым сертификатом. В более специальном значении цифровыми сертификатами называют заверенные цифровой подписью электронные документы (которые что-то о ком-то сообщают).

Идентификационными (identity) цифровыми сертификатами называют заверенные цифровой подписью электронные документы, которые связывают открытый ключ с идентификатором или набором альтернативных идентификаторов его владельца.

Владелец здесь выступает владельцем, как открытого ключа, так и парного ему секретного ключа (говорят еще, что он является хранителем секретного ключа), а также и самого сертификата. Владельцев сертификатов называют также субъектами сертификатов.

Владельцем сертификата не обязательно может быть лицо или организация, им может быть, например, сетевой сервер или сетевой адаптер (в таких случаях в качестве идентификатора владельца применяется, по обыкновению, та или иная форма его сетевого адреса (например, DNS-Имя, или имя, под которым он фигурирует в каталоге ресурсов)).

Сертификаты могут содержать (и на практике содержат) и другие сведения:

  • срок действия сертификата;
  • серийный номер;
  • версию формата;
  • идентификатор алгоритма цифровой подписи;
  • идентификатор типа открытого ключа;
  • идентификатор издателя (подписчика) и др.

Сертификат может быть подписан как самым владельцем открытого ключа, принадлежность которого заверяет (самоподписанный  (self-signed) сертификат), так и другим субъектом (лицом или организацией, третьей стороной по отношению к владельцу открытого ключа и получателя сертификата).

Базовой операцией при проверке действительности сертификата есть верификация цифровой подписи, которой он заверен. Это дает возможность удостовериться в том, что издатель сертификата действительно заверил правдивость сведений, приведенных в сертификате (в данном случае, прежде всего, сведений о принадлежности открытого ключа).

Очевидно, что при этом получатель сертификата должен уже иметь открытый ключ издателя, аутентичность которого не вызывает сомнения (полученный, например, при встрече с издателем или из публикации в печати).

Необходимо иметь в виду то, что идентификатор владельца не всегда содержит информацию, достаточную для однозначной его идентификации (это может быть просто условное имя). В таких случаях идентификация владельца нуждается в применении дополнительных (out-of-band) средств (до или после получения сертификата, но до использования открытого ключа), таких как, например, разговор по телефону с владельцем или издателем сертификата.

Далее, издатель сертификата должен быть известен получателю и вызывать у него доверие (иначе последний не может быть уверен в правдивости информации о принадлежности открытого ключа, которую издатель заверил своей подписью). При использовании сертификатов нужно всегда принимать во внимание условия их издания.

В конце концов, даже если выполнены все перечисленные условия (получатель сертификата имеет открытый ключ издателя и уверен в его аутентичности, цифровая подпись издателя верифицирована, издатель является доверенным лицом, владелец сертификата идентифицирован), получатель сертификата, используя предоставленный в нем открытый ключ, не может быть уверен на 100% в аутентичности этого ключа, если не убедится, что приведенные в сертификате сведения о принадлежности открытого ключа все еще являются действительными. С целью облегчения такой проверки, сертификаты выдаются на конечный срок, причем срок действия сертификата обозначается в самом сертификате. Однако, возникают ситуации, когда владелец или издатель сертификата досрочно прекращают его полномочие (отзывают сертификат, например, когда возникает подозрение в компрометации секретного ключа владельца или издателя, или когда владелец увольняется с работы и т.п.). Каждый раз, когда возникает потребность в использовании открытого ключа, получателю сертификата желательно убедиться, что соответствующий сертификат не является отозванным.

Продолжение следует… :]

PS: если Вы блогер, то актуальные новости блогосферы (см. www.bloggers.su) могут быть полезны и актуальны для Вас и ваших друзей, а также братьев по духу и образу жизни…


3 комментария на «“Идентификационные цифровые сертификаты”»

  1. Мне кажется это будет полезно..

  2. d0s:

    Интересно! Никогда об этом не задумывался!. Спасибо!

  3. Спасибо.)
    действительно очень интересная статья..
    буду думать..

Добавить комментарий

Яндекс.Метрика