• Категории
  • Подписка
  • Разместить статью
31/05/10 3 1701 Управление открытыми ключами
-

Типовые ситуации использования цифровых сертификатов

Рассмотрим сначала случай, когда сертификат является самоподписанным.

Самоподписанный сертификат может быть свидетельством аутентичности открытого ключа, который в нем содержится, только если сам подписан с помощью непарного этому открытому ключу секретного ключа (в противном случае самоподписанный сертификат довольно легко сфабриковать). Поэтому два корреспондента могут осуществлять защищенный обмен открытыми ключами с помощью самоподписанных сертификатов только в том случае, если только хотят изменить открытые ключи. Проблема защищенной начальной доставки открытого ключа корреспонденту таким образом не решается. Не решается таким образом и проблема перераспределения открытых ключей в случаях, когда секретный ключ одного из корреспондентов окажется скомпрометированным (или возникнет такое подозрение).

Рассмотрим теперь случай, когда издатель сертификата является третьей стороной по отношению к его владельцу и получателю.

Получив открытый ключ издателя (и удостоверившись в его аутентичности) пользователь может пользоваться услугами этого издателя для получения открытых ключей любых своих корреспондентов. При этом не имеет значения, первый раз пользователь получает от данного своего корреспондента открытый ключ или не первый, и, если не первый, в таком случае изменяется открытый ключ – просто из профилактических соображений или в связи с возможным раскрытием секретного ключа. Применение цифровых сертификатов, выданных третьей стороной – единый способ защищенной транспортировки открытых ключей в общем случае.

Издателями сертификатов могут быть специальные государственные органы.

Которые могут выступать доверенной третьей стороной при обмене открытыми ключами для своих граждан, специальные (как государственные, так и негосударственные, как коммерческие, так и некоммерческие) организации (выступая доверенной третьей стороной при обмене открытыми ключами для своих клиентов), другие (т.е. неспециальные) организации (которые могут, например, выдавать сертификаты для своих членов (сотрудников), или для своих корреспондентов (клиентов)), частные лица (выступая доверенной третьей стороной при обмене открытыми ключами для других частных лиц).

Порядок применения сертификата зависит, во-первых, от того, насколько полную информацию о владельце он содержит, во-вторых, от того, какой степенью доверия он пользуется. Оба эти факторы определяются политикой издателя, т.е. принятыми им правилами издания сертификатов (последний, правда, еще и репутацией издателя).

Например, известная фирма VeriSign (см. www.verisign.com), которая выдает цифровые сертификаты на коммерческой основе, предлагает физическим лицам четыре класса сертификатов.

Сертификаты класса 1:
идентифицируют владельца за произвольным именем, придуманным им самим (единственное требование к имени – оно должно быть уникальным в пространстве имен VeriSign). Издание такого сертификата не предусматривает никакой проверки правдивости предоставленных заказчиком сертификата сведений. Применение таких сертификатов предусматривает предыдущее установление личного контакта между корреспондентами.

Сертификаты класса 2:
идентифицируют владельца как члена (работника) определенной организации. Такие сертификаты выдаются, только если членство заказчика в этой организации будет подтверждено ее руководителем или другим официальным представителем (т.е. процедура издания сертификата предусматривает установление официального контакта с представителем этой организации). Такими сертификатами могут свободно пользоваться члены этой организации или те, кто предоставляет какие-то льготные услуги членам этой организации.

Сертификаты класса 3:
предоставляют исчерпывающую информацию об их владельцах. Процедура издания таких сертификатов предусматривает проверку личных документов заказчика. Такие сертификаты могут свободно применяться при выполнении финансовых операций (в тех случаях, когда риск потери, вследствие подделки документов заказчиком сертификата, очень велик).

Сертификаты класса 4:
также предоставляют исчерпывающую информацию об их владельцах, но процедура их издания более сложна: она предусматривает дополнительные проверки правдивости предоставленных заказчиком сертификата сведений о себе (не только проверку личных документов). Сферой применения таких сертификатов есть крупные финансовые операции.

Для того, чтобы обеспечить возможность довольно легко и безопасно осуществлять обмен открытыми ключами  (публиковать открытые ключи) определенной группе (закрытой или открытой) пользователей, нужно создать соответствующую систему средств. Такие системы по обыкновению обозначаются как “инфраструктура управления открытыми ключами” (Public Key Infrastructure, PKI (переводится также как “инфраструктура с открытыми ключами”, “инфраструктура открытых ключей” и т.п.)).


3 комментария на «“Типовые ситуации использования цифровых сертификатов”»

  1. Всё пытаюсь с этими сертификатами разобраться.
    Спасибо за информацию!

  2. насколько я понял для поддержки необходима поддержка сервером.

  3. Спасибо, материал довольно неплохо изложен. Кое что возьму в диплом по защите

Добавить комментарий

Яндекс.Метрика