Типовые ситуации использования цифровых сертификатов
Рассмотрим сначала случай, когда сертификат является самоподписанным.
Самоподписанный сертификат может быть свидетельством аутентичности открытого ключа, который в нем содержится, только если сам подписан с помощью непарного этому открытому ключу секретного ключа (в противном случае самоподписанный сертификат довольно легко сфабриковать). Поэтому два корреспондента могут осуществлять защищенный обмен открытыми ключами с помощью самоподписанных сертификатов только в том случае, если только хотят изменить открытые ключи. Проблема защищенной начальной доставки открытого ключа корреспонденту таким образом не решается. Не решается таким образом и проблема перераспределения открытых ключей в случаях, когда секретный ключ одного из корреспондентов окажется скомпрометированным (или возникнет такое подозрение).
Рассмотрим теперь случай, когда издатель сертификата является третьей стороной по отношению к его владельцу и получателю.
Получив открытый ключ издателя (и удостоверившись в его аутентичности) пользователь может пользоваться услугами этого издателя для получения открытых ключей любых своих корреспондентов. При этом не имеет значения, первый раз пользователь получает от данного своего корреспондента открытый ключ или не первый, и, если не первый, в таком случае изменяется открытый ключ – просто из профилактических соображений или в связи с возможным раскрытием секретного ключа. Применение цифровых сертификатов, выданных третьей стороной – единый способ защищенной транспортировки открытых ключей в общем случае.
Издателями сертификатов могут быть специальные государственные органы.
Которые могут выступать доверенной третьей стороной при обмене открытыми ключами для своих граждан, специальные (как государственные, так и негосударственные, как коммерческие, так и некоммерческие) организации (выступая доверенной третьей стороной при обмене открытыми ключами для своих клиентов), другие (т.е. неспециальные) организации (которые могут, например, выдавать сертификаты для своих членов (сотрудников), или для своих корреспондентов (клиентов)), частные лица (выступая доверенной третьей стороной при обмене открытыми ключами для других частных лиц).
Порядок применения сертификата зависит, во-первых, от того, насколько полную информацию о владельце он содержит, во-вторых, от того, какой степенью доверия он пользуется. Оба эти факторы определяются политикой издателя, т.е. принятыми им правилами издания сертификатов (последний, правда, еще и репутацией издателя).
Например, известная фирма VeriSign (см. www.verisign.com), которая выдает цифровые сертификаты на коммерческой основе, предлагает физическим лицам четыре класса сертификатов.
Для того, чтобы обеспечить возможность довольно легко и безопасно осуществлять обмен открытыми ключами (публиковать открытые ключи) определенной группе (закрытой или открытой) пользователей, нужно создать соответствующую систему средств. Такие системы по обыкновению обозначаются как “инфраструктура управления открытыми ключами” (Public Key Infrastructure, PKI (переводится также как “инфраструктура с открытыми ключами”, “инфраструктура открытых ключей” и т.п.)).
Твитнуть
Всё пытаюсь с этими сертификатами разобраться.
Спасибо за информацию!
насколько я понял для поддержки необходима поддержка сервером.
Спасибо, материал довольно неплохо изложен. Кое что возьму в диплом по защите