Сертификат открытого ключа

Поделись знанием:
Перейти к: навигация, поиск

Сертификат открытого ключа (сертификат ЭП, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ)) — электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.

Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.





Принцип работы

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.

Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.

Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как: сам открытый ключ владельца сертификата, срок действия, имя эмитента (центра сертификации), имя владельца сертификата и, самой важной части, цифровой подписи. Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши. Если хеши совпадают — значит сертификат действительный и можно не сомневаться, что открытый ключ принадлежит именно тому с кем мы собираемся устанавливать соединение.

Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.[1]

Формальное описание

Пусть имеются две стороны информационного обмена — <math>A_1</math>,<math>A_2</math> — и третья сторона <math>A_3</math>, которой доверяют <math>A_1</math> и <math>A_2</math>. Стороне <math>A_1</math> принадлежит пара (<math>K1_o</math>, <math>K1_s</math>), где <math>K1_o</math> — открытый ключ, <math>K1_s</math> — закрытый (секретный) ключ. Стороне <math>A_3</math> принадлежит пара (<math>K3_o</math>, <math>K3_s</math>).

<math>A_1</math> регистрируется у <math>A_3</math>, указывая данные о себе и свой <math>K1_o</math>. <math>A_3</math> выдает стороне <math>A_1</math> сертификат <math>S</math>, устанавливающий соответствие между <math>A_1</math> и <math>K1_o</math>. <math>S</math> содержит <math>K1_o</math>, сведения о <math>A_1</math>, название стороны <math>A_3</math>, подпись <math>A_3</math> (результат применения хеш-функции к данным сертификата с использованием <math>K3_s</math>) и другую информацию.

<math>A_1</math> посылает стороне <math>A_2</math> свой сертификат <math>S</math>, подписанный с помощью <math>K1_s</math>. <math>A_2</math> извлекает из <math>S</math> ключ <math>K1_o</math> и проверяет с его помощью подписи <math>S_s</math>. Корректность ЭЦП подтверждает, что <math>K1_o</math> действительно принадлежит <math>A_1</math>.

Затем с помощью широко известного <math>K3_o</math> проверяется подпись стороны <math>A_3</math>. Если подпись корректна — значит <math>A_1</math> действительно прошел регистрацию у <math>A_3</math>.

Структура сертификата

Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:

Украина Россия
уникальный регистрационный номер сертификата + +
даты и время начала и окончания срока действия сертификата + +
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца + +
открытый ключ + +
наименование и реквизиты ЦС + +
наименование криптографического алгоритма + +
информацию об ограничении использования подписи + +
указание на страну выпуска сертификата + -

Кроме этого в сертификат могут вноситься дополнительные поля.

Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.

Российские стандарты

В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в [tools.ietf.org/html/rfc4491 RFC4491: Using GOST with PKIX].

Напишите отзыв о статье "Сертификат открытого ключа"

Ссылки

  • [wiki.linuxformat.ru/wiki/LXF94:Электронные_подписи Статья «Электронные подписи»] c сайта [wiki.linuxformat.ru/index.php/Заглавная_страница Linux Format Wiki]
  1. support.dnsimple.com/articles/what-is-ssl-certificate-chain/ SSL certificate chain

См. также

Отрывок, характеризующий Сертификат открытого ключа

– Из коридора направо; там, Euer Hochgeboren, [Ваше высокородие,] найдете дежурного флигель адъютанта, – сказал ему чиновник. – Он проводит к военному министру.
Дежурный флигель адъютант, встретивший князя Андрея, попросил его подождать и пошел к военному министру. Через пять минут флигель адъютант вернулся и, особенно учтиво наклонясь и пропуская князя Андрея вперед себя, провел его через коридор в кабинет, где занимался военный министр. Флигель адъютант своею изысканною учтивостью, казалось, хотел оградить себя от попыток фамильярности русского адъютанта. Радостное чувство князя Андрея значительно ослабело, когда он подходил к двери кабинета военного министра. Он почувствовал себя оскорбленным, и чувство оскорбления перешло в то же мгновенье незаметно для него самого в чувство презрения, ни на чем не основанного. Находчивый же ум в то же мгновение подсказал ему ту точку зрения, с которой он имел право презирать и адъютанта и военного министра. «Им, должно быть, очень легко покажется одерживать победы, не нюхая пороха!» подумал он. Глаза его презрительно прищурились; он особенно медленно вошел в кабинет военного министра. Чувство это еще более усилилось, когда он увидал военного министра, сидевшего над большим столом и первые две минуты не обращавшего внимания на вошедшего. Военный министр опустил свою лысую, с седыми висками, голову между двух восковых свечей и читал, отмечая карандашом, бумаги. Он дочитывал, не поднимая головы, в то время как отворилась дверь и послышались шаги.
– Возьмите это и передайте, – сказал военный министр своему адъютанту, подавая бумаги и не обращая еще внимания на курьера.
Князь Андрей почувствовал, что либо из всех дел, занимавших военного министра, действия кутузовской армии менее всего могли его интересовать, либо нужно было это дать почувствовать русскому курьеру. «Но мне это совершенно всё равно», подумал он. Военный министр сдвинул остальные бумаги, сровнял их края с краями и поднял голову. У него была умная и характерная голова. Но в то же мгновение, как он обратился к князю Андрею, умное и твердое выражение лица военного министра, видимо, привычно и сознательно изменилось: на лице его остановилась глупая, притворная, не скрывающая своего притворства, улыбка человека, принимающего одного за другим много просителей.
– От генерала фельдмаршала Кутузова? – спросил он. – Надеюсь, хорошие вести? Было столкновение с Мортье? Победа? Пора!
Он взял депешу, которая была на его имя, и стал читать ее с грустным выражением.
– Ах, Боже мой! Боже мой! Шмит! – сказал он по немецки. – Какое несчастие, какое несчастие!
Пробежав депешу, он положил ее на стол и взглянул на князя Андрея, видимо, что то соображая.
– Ах, какое несчастие! Дело, вы говорите, решительное? Мортье не взят, однако. (Он подумал.) Очень рад, что вы привезли хорошие вести, хотя смерть Шмита есть дорогая плата за победу. Его величество, верно, пожелает вас видеть, но не нынче. Благодарю вас, отдохните. Завтра будьте на выходе после парада. Впрочем, я вам дам знать.
Исчезнувшая во время разговора глупая улыбка опять явилась на лице военного министра.
– До свидания, очень благодарю вас. Государь император, вероятно, пожелает вас видеть, – повторил он и наклонил голову.
Когда князь Андрей вышел из дворца, он почувствовал, что весь интерес и счастие, доставленные ему победой, оставлены им теперь и переданы в равнодушные руки военного министра и учтивого адъютанта. Весь склад мыслей его мгновенно изменился: сражение представилось ему давнишним, далеким воспоминанием.


Князь Андрей остановился в Брюнне у своего знакомого, русского дипломата .Билибина.
– А, милый князь, нет приятнее гостя, – сказал Билибин, выходя навстречу князю Андрею. – Франц, в мою спальню вещи князя! – обратился он к слуге, провожавшему Болконского. – Что, вестником победы? Прекрасно. А я сижу больной, как видите.
Князь Андрей, умывшись и одевшись, вышел в роскошный кабинет дипломата и сел за приготовленный обед. Билибин покойно уселся у камина.
Князь Андрей не только после своего путешествия, но и после всего похода, во время которого он был лишен всех удобств чистоты и изящества жизни, испытывал приятное чувство отдыха среди тех роскошных условий жизни, к которым он привык с детства. Кроме того ему было приятно после австрийского приема поговорить хоть не по русски (они говорили по французски), но с русским человеком, который, он предполагал, разделял общее русское отвращение (теперь особенно живо испытываемое) к австрийцам.
Билибин был человек лет тридцати пяти, холостой, одного общества с князем Андреем. Они были знакомы еще в Петербурге, но еще ближе познакомились в последний приезд князя Андрея в Вену вместе с Кутузовым. Как князь Андрей был молодой человек, обещающий пойти далеко на военном поприще, так, и еще более, обещал Билибин на дипломатическом. Он был еще молодой человек, но уже немолодой дипломат, так как он начал служить с шестнадцати лет, был в Париже, в Копенгагене и теперь в Вене занимал довольно значительное место. И канцлер и наш посланник в Вене знали его и дорожили им. Он был не из того большого количества дипломатов, которые обязаны иметь только отрицательные достоинства, не делать известных вещей и говорить по французски для того, чтобы быть очень хорошими дипломатами; он был один из тех дипломатов, которые любят и умеют работать, и, несмотря на свою лень, он иногда проводил ночи за письменным столом. Он работал одинаково хорошо, в чем бы ни состояла сущность работы. Его интересовал не вопрос «зачем?», а вопрос «как?». В чем состояло дипломатическое дело, ему было всё равно; но составить искусно, метко и изящно циркуляр, меморандум или донесение – в этом он находил большое удовольствие. Заслуги Билибина ценились, кроме письменных работ, еще и по его искусству обращаться и говорить в высших сферах.
Билибин любил разговор так же, как он любил работу, только тогда, когда разговор мог быть изящно остроумен. В обществе он постоянно выжидал случая сказать что нибудь замечательное и вступал в разговор не иначе, как при этих условиях. Разговор Билибина постоянно пересыпался оригинально остроумными, законченными фразами, имеющими общий интерес.
Эти фразы изготовлялись во внутренней лаборатории Билибина, как будто нарочно, портативного свойства, для того, чтобы ничтожные светские люди удобно могли запоминать их и переносить из гостиных в гостиные. И действительно, les mots de Bilibine se colportaient dans les salons de Vienne, [Отзывы Билибина расходились по венским гостиным] и часто имели влияние на так называемые важные дела.