Контроль Разума
Advertisement

Сертификат (сертификат открытого ключа, сертификат ЭЦП) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.

Открытый ключ может быть использован для организации защищенного канала связи с владельцем двумя способами:

  • для проверки подписи владельца (аутентификация)
  • для шифрования посылаемых ему данных (конфиденциальность)

Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т.н. сетей доверия), получившая наибольшее распространение в сетях PGP.

Принцип работы[]

Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (т.к. только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.

Если же Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.

Структура сертификата[]

Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется стандартом на его формат (например, X.509). Как правило, сертификат включает в себя следующие поля:

  • имя владельца сертификата (имя пользователя, которому принадлежит сертификат)
  • один или несколько открытых ключей владельца сертификата
  • имя удостоверяющего центра
  • серийный номер сертификата, присвоенный удостоверяющим центром
  • срок действия сертификата (дата начала действия и дата окончания действия)
  • информация об использованных криптографических алгоритмах
  • электронная цифровая подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате)

Российские стандарты[]

В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в RFC4491: Using GOST with PKIX.


ar:شهادات رقمية ca:Certificat digital cs:Digitální certifikát de:Digitales Zertifikat el:Ψηφιακό πιστοποιητικό en:Public key certificate es:Certificado digital fa:گواهی دیجیتال fr:Certificat électronique it:Certificato digitale ja:公開鍵証明書 nl:Certificaat (PKI) pl:Certyfikat pt:Certificado digital uk:Цифровий сертифікат vi:Chứng thực khóa công khai zh:電子證書

Advertisement