 |
Состав сертификата ключа подписи
|
|
|
|
Дайджесты сообщений
Дайджесты сообщений - это еще одно понятие, которым оперируют при защищенной передаче сообщений по Интернет. Алгоритмы дайджестов схожи с хэш-функциями: они читают ("переваривают") данные для вычисления значения хеш-функции, называемого дайджестом сообщения. Дайджест сообщения зависит от данных и алгоритма дайджеста. Значение дайджеста может использоваться для проверки целостности сообщения; то есть для обеспечения неизменности данных во время их передачи отправителем получателю. Отправитель посылает дайджест сообщения вместе с этим сообщением. По получении сообщения получатель заново производит вычисление дайджеста. Если в сообщение были внесены изменения, это значение будет другим, и это будет свидетельствовать о том, что сообщение было изменено.
Хеш-функцией называется односторонняя функция, предназначенная для получения дайджеста или "отпечатков пальцев" файла, сообщения или некоторого блока данных.
История развития функций хеширования начинается с работ Картера, Вегмана, Симонсона, Биербрауера. Изначально функции хеширования использовались как функции создания уникального образа информационных последовательностей произвольной длины, с целью идентификации и определения их подлинности. Сам образ должен быть небольшим блоком фиксированной длины, как правило, 30, 60, 64, 128, 256, или 512 бит. Поэтому операции поиска сортировки и другие с большими массивами или базами данных существенно упрощаются, т.е. занимают гораздо меньшее время. Для обеспечения требуемой вероятности ошибки необходимо обеспечивать ряд требований к функции хеширования.
59-60) Сертификат открытого ключа ЭЦП – это документ, который выдается уполномоченным удостоверяющим центром для идентификации владельца сертификата и подтверждения подлинности электронной цифровой подписи. Документ может быть как на бумажном носителе, так и в электронном виде. В случае электронного сертификата ключа подписион должен быть заверен электронной цифровой подписью уполномоченного лица удостоверяющего центра
|
|
|
Срок хранения сертификата зависит от отношений, которые в нем обозначены
Состав сертификата ключа подписи
· Уникальный регистрационный номер сертификата, даты начала и окончания срока его действия;
· Фамилия, Имя и Отчество владельца сертификата открытого ключа или его псевдоним. В случае, когда используется псевдоним, запись об этом вносится в сертификат ключа подписи;
· Открытый ключ ЭЦП;
· Наименование средств ЭЦП, с которыми данный открытый ключ электронной цифровой подписи используется;
· Наименование и местонахождение удостоверяющего центра, выдавшего сертификат;
· Сведения об отношениях, при осуществлении которых электронный документ, заверенный ЭЦП, будет иметь юридическое значение.
· При необходимости в сертификате могут указываться дополнительные сведения, такие как должность, наименование и место нахождения организации, в которой установлена эта должность и т.д., при условии наличия подтверждающих документов.
61) Сертификат открытого ключа (цифровой сертификат) – это электронный или бумажный документ, содержащий открытый (публичный) ключ, а так же информацию о владельце ключа позволяющую его однозначно идентифицировать.
Сертификат подписывается электронной цифровой подписью УЦ, чем заверяется соответствие открытого ключа - указанным в сертификате данным владельца. Любой человек, имеющий открытый ключ УЦ может проверить подпись УЦ и удостовериться в подлинности открытого ключа проверяемого владельца, конечно при условии доверия выдавшему сертификат УЦ.
|
|
|
Базовые модели сертификации
1.Сертификат конечного пользователя (описанный выше).Сертификат СА. Должен быть доступен для проверки ЭЦП сертификата конечного пользователя и подписан секретным ключом СА верхнего уровня, причем эта ЭЦП также должна проверяться, для чего должен быть доступен сертификат СА верхнего уровня, и т. д.
2.Самоподписанный сертификат. Является корневым для всей PKI и доверенным по определению — в результате проверки цепочки сертификатов СА выяснится, что один из них подписан корневым секретным ключом, после чего процесс проверки ЭЦП сертификатов заканчивается.
3.Кросс-сертификат. Позволяет расширить действие конкретной PKI путем взаимо подписания корневых сертификатов двух разных PKI. Существуют три базовые модели сертификации:
• иерархическая модель, основанная на иерархической цепи сертификатов;
• модель кросс-сертификации (подразумевает взаимную сертификацию);
• сетевая (гибридная) модель, включающая элементы иерархической и взаимной сертификации.
62) Центр сертификации СА (Certification Authority) — организационная единица, назначение которой — сертификация открытых ключей пользователей и их опубликование в каталоге сертификатов
Корневой Центр сертификации (ЦС) с создается с помощью настройки программного обеспечения для создания пары ключей - открытого и закрытого (см. мою статью в разделе «Безопасность за 15 минут» для получения вводной информации). Затем этот сервер создает само-подписанный сертификат, в котором сервер ручается за свою собственную подлинность. Это очень важная концепция, поскольку она отражает ту степень доверия, которую мы испытываем к корневому ЦС. Без какого бы то ни было внешнего подтверждения подлинности корневого ЦС, мы должны просто поверить ему на слово, что он является корневым. Доверие к корневому ЦС удостоверяется в Windows с помощью размещения копии сертификата корневого ЦС в хранилище доверенных корневых ЦС на локальном компьютере. Вы можете просмотреть содержание этого хранилища с помощью окна свойств в Internet Explorer. Как видите, Windows уже включил множество корневых ЦС в этот список. Это сертификаты тех корневых ЦС, которым, по мнению Microsoft, вы можете доверять. Вы можете изменить этот список, удаляя из него ЦС, которым вы предпочитаете не доверять, импортируя сертификаты тех ЦС, которым вы доверяете, либо используя Certificate Trust List (CTL) в групповой политике для настройке списка доверенных ЦС для всех компьютеров, на которые оказывает влияние эта политика.
|
|
|
Доверенные сертификаты
В OpenOffice.org макросы так же могут быть подписаны цифровой подписью. Отдельные сертификаты ЭЦП возможно указать в качестве «доверенных», тогда, при открытии документов с макросами, подписанными данным сертификатом, предупреждение безопасности выдаваться не будет.
|
|
|
