Сертификаты и электронная подпись |
Top Previous Next |
|
Содержание - Общие установки и опции - Режим повышенной безопасности - Сертификаты - Сертификаты и электронная подпись
Сертификаты и Открытые ключи регулируются требованиями режима повышенной безопасности
Удостоверяющие центры - это организации, аккредитованные оказывать услуги по предоставлению открытых и закрытых ключей ЭЦП пользователям информационной системы, которые обеспечивают средства защиты и подтверждения информации. Связь между владельцем сертификата, идентичностью владельца сертификата и открытым ключом владельца сертификата является частью Инфраструктуры открытых ключей (Public Key Infrastructure, PKI) . Эта инфраструктура состоит из следующих частей: •Пара Открытый/Закрытый ключ •Запрос сертификата •Удостоверяющий центр •Сертификат •Ваш Открытый ключ, используемый для проверки подписи.
Пара Открытый/Закрытый (секретный) ключ Стандарт PKI требует использовать пары открытый/закрытый ключ. Описание математической составляющей этого понятия не входит в задачи данной документации, но важно отметить функциональную связь между открытым и закрытым ключами. Криптографические алгоритмы PKI используют открытый ключ получателя зашифрованного сообщения для кодирования данных и соответствующий закрытый ключ и только его для расшифровки зашифрованного сообщения. Точно также электронная подпись файла хроматограммы создается с учетом закрытого ключа подписывающего субъекта. Соответствующий открытый ключ, который доступен каждому, используется для проверки этой подписи. Важно поддерживать секретность закрытого ключа, так как вся конструкция безопасности нарушается после его рассекречивания. При определенных усилиях пара открытый/закрытый ключ может быть вычислена, таким образом, закрытый ключ может быть рассекречен. Чем длиннее ключ, тем сложнее его "взломать". На практике, достаточно надежные ключи могут быть использованы с целью предотвращения определения открытого ключа, делая стандарт PKI жизнеспособным механизмом. Закрытый ключ может храниться, в защищенном формате, на диске, в этом случае он может использоваться только определенным компьютером, пока он физически не будет перенесен на другой компьютер. В качестве альтернативы можно иметь ключ на смарт-карте, которая может использоваться на другом компьютере со смарт-карт-ридером или токене и поддерживающей программой (с программой для чтения смарт-карт или токенов и поддерживающим программным обеспечением ). Открытый ключ владельца электронного сертификата является частью требований к сертификату. (Однако, пара открытый/закрытый ключ должна существовать до создания требований к сертификату). Таким образом, открытый ключ становится частью выходного сертификата.
Запрос сертификата Перед созданием сертификата создается запрос на сертификат. Это запрос относится к одному объекту, например, конечному пользователю, компьютеру или приложению. В качестве примера, предположим, что объект - это вы сами. Ваши данные включаются в запрос на сертификат. После того, как запрос сформирован, он рассматривается Удостоверяющим центром (УЦ) . УЦ затем использует информацию о вас с целью определить, соответствует ли требование критериям УЦ для выпуска сертификата. Если соответствует, вы получаете сертификат, как субъект, указанный в требовании.
Перед тем, как создать ваш сертификат, УЦ подтверждает вашу идентичность. Когда сертификат создан, Ваша идентичность привязана к сертификату, в котором содержится ваш открытый ключ. Ваш сертификат содержит также цифровую подпись УЦ , (которая может быть подтверждена кем-то, кто получил ваш сертификат). Так как ваш сертификат содержит наименование УЦ, заинтересованный участник, который доверяет этому УЦ, может распространить доверие на ваш сертификат. Выдача сертификата не устанавливает доверие, но распространяет его. Если получатель сертификата не доверяет выдаче УЦ, то не будет (или не должен) доверять вашему сертификату. Цепочка подписанных сертификатов позволяет распространить доверие также на другие УЦ. Это позволяет участникам, которые используют другие УЦ сохранять доверие сертификатам (это обычная цепочка УЦ, при которой УЦ доверяют обе стороны).
Сертификат В дополнение к Вашему открытому ключу и название УЦ, сертификат содержит информацию о целях вашего ключа и сертификата. Более того, он содержит выход на список аннулированных сертификатов и определяет период действительности сертификата (даты начала и окончания). Принимая, что сторона, проверяющая сертификат, доверяет УЦ вашего сертификата, сторона, проверяющая сертификат, должна определить действенность сертификата сравнив даты его начала и конца с текущим временем, и проверив, его отсутствие в списке аннулированных сертификатов.
Ваш Открытый ключ, используемый для проверки подписи Электронная подпись используется в качестве подтверждения, что документ не был изменен, а также подтверждения идентичности отправителя. Эта цифровая подпись зависит от вашего закрытого ключа и содержания документа. Используя документ и ваш закрытый ключ, криптографические алгоритмы создают цифровую подпись. Содержание документа не меняется в процессе подписывания. Получатель может использовать ваш открытый ключ (после проверки действительности вашего сертификата, организации УЦ, и статуса аннулированности), чтобы определить, соответствует ли подпись содержанию записи, и определить, была ли запись послана вами.
Если третья сторона перехватывает документ, изменяет его, даже чуть-чуть, и посылает его и исходную подпись получателю, получатель при проверке документа и подписи сможет определить, что документ подозрителен. То же и в случае, если третья сторона создает документ и посылает его с фальшивой цифровой подписью под видом, что он исходит от вас, получатель сможет использовать ваш открытый ключ, чтобы определить, что документ и подпись не соответствуют друг другу.
Невозможность отказа также поддерживается электронными подписями. Если отправитель подписанного документа отрицает отправку документа, получатель может использовать подпись, чтобы опровергнуть это утверждение.
Обратите внимание, что большая часть действий, перечисленных здесь, также производится программой, а не пользователем непосредственно. |