Главная | Обратная связь
МегаЛекции

Цифровой сертификат (цифровая сигнатура)




Часто возникают ситуации, когда получатель должен уметь доказать подлинность сообщения внешнему лицу. Чтобы иметь такую возможность, к передаваемым сообщениям должны быть приписаны так называемые цифровые сигнатуры.

Цифровая сигнатура - это строка символов (кодовая комбинация), зависящая как от идентификатора отправителя, так и содержания сообщения.

 
 

 


Рисунок 26. Цифровая сигнатура (сертификат)

Никто при этом кроме пользователя А не может вычислить цифровую сигнатуру А для конкретного сообщения. Никто, даже сам пользователь не может изменить посланного сообщения так, чтобы сигнатура осталась неизменной. Хотя получатель должен иметь возможность проверить является ли цифровая сигнатура сообщения подлинной. Чтобы проверить цифровую сигнатуру, пользователь В должен представить посреднику С информацию, которую он сам использовал для верификации сигнатуры.

Если помеченное сигнатурой сообщение передается непосредственно от отправителя к получателю, минуя промежуточное звено, то в этом случае идет речь об истинной цифровой сигнатуре. Если используется промежуточное звено, то чаще применяют термин цифровой сертификат.

Таким образом, цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. На рис. 27 показан пример цифрового сертификата в стандартном формате Х.509. Общий формат сертификата Х.509 включает следующие элементы:

- номер версии;

- серийный номер сертификата;

- эмитент информации об алгоритме;

- эмитент сертификата;

- даты начала и окончания действия сертификата;

- информацию об алгоритме общего ключа субъекта сертификата;

- подпись эмитирующей (удостоверяющей) организации.

 

Цифровой сертификат содержит: - Серийный номер сертификата - Используемые алгоритмы - Срок действия - Информацию об общем ключе пользователя - Подпись организации, выдавшей сертификат     SHA, DH, 3837829 1/1/99 to 12/31/2005 Alice Smith, Acme Corp, DH 3813710 Acme Corporation Security Dept. SHA, DH, 239702317 …  

Рисунок 27. Пример сертификата Х.509

Удостоверяющая (эмитирующая организация), назовем ее СА, является надежной третьей стороной, которой вы полностью доверяете. В принципе удостоверяющей организацию может представлять специально назначенное должностное лицо – администратор, имеющий соответствующие полномочия от юридического лица. На рис. 28 показано, что Боб, прежде чем отправить данные Алисе, хочет проверить ее общий ключ с помощью СА. Алиса имеет действующий сертификат, который хранится в СА. Боб запрашивает у СА цифровой сертификат Алисы. СА подписывает сертификат своим частным ключом. Боб имеет доступ к общему ключу СА и может убедиться в том, что сертификат, подписанный СА, является действительным. Так как сертификат Алисы содержит ее общий ключ, Боб получает «заверенную» версию общего ключа Алисы.

Рисунок 28. Получение цифрового сертификата

Заметим, что для реализации этой схемы необходима надежная система распространения общего ключа СА среди пользователей. В настоящее время создание больших инфраструктур, пользующихся общими ключами (PKI), сопряжено с трудностями, так как ряд вопросов, связанных с такими инфраструктурами, остается нерешенным. Еще предстоит разработать эффективные процедуры отзыва и изменения сертификатов, а также определить, как обращаться с иерархиями СА, где разные пользователи могут полагаться на услуги разных СА. Тем не менее, все эти вопросы постепенно решаются.

Рассмотрим, в качестве вывода по данной главе, простой сценарий безопасной связи с использованием шифрования, который показан на рис. 29.

Маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей. Предположим, что СА удалось получить сертификаты Х.509 для маршрутизатора и межсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатор и межсетевой экран тоже получили копии общего ключа СА по защищенным каналам. Теперь, если на маршрутизаторе имеется график, предназначенный для межсетевого экрана, и если маршрутизатор хочет обеспечить аутентификацию и конфиденциальность данных, необходимо предпринять следующие шаги:

1. Маршрутизатор отправляет в СА запрос на получение общего ключа межсетевого экрана.

2. СА отправляет ему сертификат межсетевого экрана, зашифрованный частным ключом СА.

3. Маршрутизатор расшифровывает сертификат общим ключом СА и получает общий ключ межсетевого экрана.

4. Межсетевой экран направляет СА запрос на получение общего ключа маршрутизатора.

5. СА отправляет ему сертификат маршрутизатора, зашифрованный частным ключом СА.

6. Межсетевой экран расшифровывает сертификат общим ключом СА и получает общий ключ маршрутизатора.

Рисунок 29. Безопасная передача данных с использованием шифрования

7. Маршрутизатор и межсетевой экран используют алгоритм Диффи-Хеллмана и шифрование с помощью общих ключей для аутентификации.

8. С помощью секретного ключа, полученного в результате использования алгоритма Диффи-Хеллмана, маршрутизатор и межсетевой экран проводят обмен конфиденциальными данными.





©2015- 2017 megalektsii.ru Права всех материалов защищены законодательством РФ.