Электронные сертификаты

Сертификат (сертификат открытого ключа, сертификат ЭЦП) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.

Открытый ключ может быть использован для организации защищенного канала связи с владельцем двумя способами:
- для проверки подписи владельца (аутентификация);
- для шифрования посылаемых ему данных (конфиденциальность).

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (PGP). В централизованной модели существуют корневые центры сертификации, подписям которых обязан доверять каждый пользователь. В децентрализованной модели каждый пользователь самостоятельно выбирает, каким сертификатам он доверяет и в какой степени.

Децентрализованная модель обеспечивает шифрование с применением двух ключей: закрытого и открытого. Чтобы реализовать обмен данных с использованием децентрализованной модели необходимо, чтобы отправитель имел у себя закрытый ключ, а адресат - открытый. Отправитель шифрует данные с помощью открытого ключа адресата и отправляет их адресату. Адресат, получив данные, расшифровывает их с помощью своего закрытого ключа. Математически ключи подобраны так, что имея один очень сложно, даже почти невозможно восстановить другой. Закрытый ключ следует хранить у себя, а открытый - раздавать адресатам, которым вы отправляете зашифрованные данные.

Не следует передавать открытый ключ адресату заранее по EMail. Злоумышленник может перехватить сообщение, извлечь оттуда ключ, и заменить на свой. После этого он может прочитать сообщения адресата, которые предназначались Вам. Один из наиболее безопасных способов передачи открытого ключа - использовать удостоверяющий центр.

Аутентификация посредством цифровых сертификатов

Данный тип аутентификации основан на применении асимметричных криптографических методов, сущность которых заключается в использовании двух ключей – один, для шифрования данных, открытый ключ, другой, закрытый ключ для дешифрования.

Данные, зашифрованные общедоступным открытым ключом, могут быть расшифрованы, только владельцем парного закрытого ключа.

Сертификат выпускается специализированным полномочным органом сертификации – Центром Сертификации (Certificate Authority - CA). Центр сертификации, выпуская сертификат, заявляет, что указанный в сертификате открытый ключ принадлежит именно тому субъекту, о котором говорится в сертификате. Конечно, необходимо доверять самому центру сертификации и заранее получить его открытый ключ или самоподписанный сертификат. Сертификаты общеизвестных центров сертификации, например Verisign, для обеспечения повышенной безопасности обычно устанавливаются компанией производителем программного обеспечения заранее, в такие программные продукты, как браузеры.

Наиболее популярным является сертификат, определенный стандартом X.509. Стандарт Х.509 предусматривает использование различных алгоритмов создания цифровой подписи. Сертификаты стандарта Х.509 содержат информацию о версии и используемом алгоритме создания подписи, идентификационные данные и подпись организации, которая выдала сертификат, срок действия сертификата, идентификационные данные принципала и его открытый ключ.

Аутентификации посредством сертификатов может быть как односторонней, так и двухсторонней. В случае односторонней аутентификации проверяется только клиентский сертификат, во время двухсторонней аутентификации на стороне сервера проверяется клиентский сертификат, а на стороне клиента – серверный, что обеспечивает взаимную аутентификации сторон.

Для получения сертификата необходимо, например, средствами Web, отправить в CA запрос на выдачу сертификата (Certificate Signing Request – CSR), содержащий необходимую для выдачи сертификата информацию. Сотрудники органа сертификации обрабатывают запрос и производят генерацию сертификата, который может быть выслан по электронной почте.

Органы сертификации также предоставляют списки аннулированных сертификатов (Certificate Revocation List – CRL), в которых перечисляются сертификаты, аннулированные до окончания срока их действия. Периодически опрашивая CRL-списки, пользователь может проверить, имеют ли сертификаты, присылаемые ему другими лицами, законную силу.

Сертификат в основном используется в случае, когда необходимо произвести обмен открытыми ключами шифрования и убедится, что полученный ключ, принадлежит именно тому объекту, с которым производится обмен. Если использовать обмен ключами без применения сертификатов, то появляется возможность перехвата злоумышленником трафика данных в процессе обмена открытыми ключами, с последующей передачей фиктивного ключа обеим сторонам, после чего атакующий может просматривать и изменять передаваемые данные.

Наибольшее распространение, в силу высокой надежности, гибкости и ориентацией на слабосвязанные среды, метод аутентификации, основанный на цифровых сертификатах, получил в применении к приложениям электронной коммерции, в которых необходимо однозначно идентифицировать территориально распределенные стороны обмена и обеспечить их защищенное взаимодействие.