Инфраструктура управления открытыми ключами PKI

Сертификаты открытых ключей

Сертификаты открытых ключей играют важную роль в криптографии открытых ключей. Их основное назначение — сделать доступным и достоверным открытый ключ пользователя.

В основу формирования сертификатов открытых ключей положены принципы строгой аутентификации, рекомендованные стандартом Х.509 и базирующиеся на свойствах криптосистем с открытым ключом.

Криптосистемы с открытым ключом предполагают наличие у пользователя парных ключей — секретного и открытого (общедоступного). Каждый пользователь идентифицируется с помощью своего секретного ключа. С помощью парного открытого ключа любой другой пользователь имеет возможность определить, является ли его партнер по связи подлинным владельцем секретного ключа.

Процедура, позволяющая каждому пользователю устанавливать однозначное и достоверное соответствие между открытым ключом и его владельцем, обеспечивается с помощью механизма сертификации открытых ключей.

Степень достоверности факта установления подлинности (аутентификации) пользователя зависит от надежности хранения секретного ключа и надежности источника поставки открытых ключей пользователей. Чтобы пользователь мог доверять процессу аутентификации, он должен извлекать открытый ключ другого пользователя из надежного источника, которому он доверяет. Таким источником согласно стандарту Х.509 является Центр сертификации СА (Certification Authority). Его называют также Удостоверяющий центр — УЦ; последний термин используется, в частности, в отечественном «Законе об ЭЦП».

Центр сертификации С А является доверенной третьей стороной, обеспечивающей аутентификацию открытых ключей, содержащихся в сертификатах. СА имеет собственную пару ключей (открытый/секретный), где секретный ключ СА используется для подписывания сертификатов, а открытый ключ СА публикуется и используется пользователями для проверки подлинности открытого ключа, содержащегося в сертификате.

Сертификация открытого ключа — это подтверждение подлинности открытого ключа и хранимой совместно с ним служебной информацией, в частности о принадлежности ключа. Сертификация ключа выполняется путем вычисления ЭЦП сертифицируемого ключа и служебной информации с помощью специального секретного ключа-сертификата, доступного только СА. Иными словами, сертификация открытого ключа — это подписывание открытого ключа электронной подписью, вычисленной на секретном ключе СА.

Открытый ключ совместно с сертифицирующей его ЭЦП часто называют сертификатом открытого ключа или просто сертификатом.

СА формирует сертификат открытого ключа пользователя путем заверения цифровой подписью СА определенного набора данных.

В соответствии с форматом Х.509 в этот набор данных включаются:

• период действия открытого ключа, состоящий из двух дат: начала и конца периода;
• номер и серия ключа;
• уникальное имя пользователя;
• информация об открытом ключе пользователя: идентификатор алгоритма, для которого предназначен данный ключ, и собственно открытый ключ;
• ЭЦП и информация, используемая при проведении процедуры проверки ЭЦП (например, идентификатор алгоритма генерации ЭЦП);
• уникальное имя сертификационного центра.

Таким образом, цифровой сертификат содержит три главные составляющие:

• информацию о пользователе — владельце сертификата;
• открытый ключ пользователя;
• сертифицирующую ЭЦП двух предыдущих составляющих, вычисленную на секретном ключе СА.

Сертификат открытого ключа обладает следующими свойствами:

• каждый пользователь, имеющий доступ к открытому ключу СА, может извлечь открытый ключ, включенный в сертификат;
• ни одна сторона, помимо СА, не может изменить сертификат так, чтобы это не было обнаружено (сертификаты нельзя подделать).

Так как сертификаты не могут быть подделаны, то их можно опубликовать, поместив в общедоступный справочник не предпринимая специальных усилий по защите этих сертификатов.

Создание сертификата открытого ключа начинается с создания пары ключей (открытый/секретный).

Процедура генерации ключей может осуществляться двумя способами.

1. СА создает пару ключей. Открытый ключ заносится в сертификат, а парный ему секретный ключ передается пользователю с обеспечением аутентификации пользователя и конфиденциальности передачи ключа.
2. Пользователь сам создает пару ключей. Секретный ключ сохраняется у пользователя, а открытый ключ передается по защищенному каналу в СА.

Каждый пользователь может быть владельцем одного или нескольких сертификатов, сформированных сертификационным центром СА пользователя. Пользователь может владеть сертификатами, полученными из нескольких разных сертификационных центров.

На практике часто возникает потребность аутентифициро-вать пользователя, который получает сертификаты в другом сертификационном центре. Принципы распределенного администрирования рассматриваются ниже.


Страницы: 1 2 3 4

Эта статья была опубликована Пятница, 10 сентября, 2010 at 19:15 в рубрике Инфраструктура защиты на прикладном уровне. Вы можете следить за ответами через RSS 2.0 feed.

Написать ответ