Когда человек теряет богатство, он ничего не теряет. Когда человек теряет здоровье, он теряет кое-что. Когда человек теряет характер, он теряет все. © Билли Грэм 1105 - | 887 - или читать все...
Обратная связь Пожаловаться на материал

Доверие к открытому ключу и цифровые сертификаты


⇐ ПредыдущаяСтр 32 из 53Следующая ⇒

Центральным вопросом схемы открытого распределения ключей является вопрос доверия к полученному открытому ключу партнёра, который в процессе передачи или хранения может быть модифицирован или подменен. Для широкого класса практических систем (системы электронного документооборота, системы Клиент-Банк, межбанковские системы электронных расчётов), в которых возможна личная встреча партнёров до начала обмена ЭД, эта задача имеет относительно простое решение - взаимная сертификация открытых ключей.

Эта процедура заключается в том, что каждая сторона при личной встрече удостоверяет подписью уполномоченного лица и печатью бумажный документ - распечатку содержимого открытого ключа другой стороны. Этот бумажный сертификат является, во-первых, обязательством стороны использовать для проверки подписи под входящими сообщениями данный ключ, и, во-вторых, обеспечивает юридическую значимость взаимодействия. Действительно, рассмотренные бумажные сертификаты позволяют однозначно идентифицировать мошенника среди двух партнёров, если один из них захочет подменить ключи.

Таким образом, для реализации юридически значимого электронного взаимодействия двух сторон необходимо заключить договор, предусматривающий обмен сертификатами. Сертификат представляет собой документ, связывающий личностные данные владельца и его открытый ключ. В бумажном виде он должен содержать рукописные подписи уполномоченных лиц и печати.

В системах, где отсутствует возможность предварительного личного контакта партнёров, необходимо использовать цифровые сертификаты, выданные и заверенные ЭП доверенного посредника - удостоверяющего или сертификационного центра. На Рис. 1.7.9 показана схема электронного взаимодействия двух партнёров с участием центра сертификации (ЦС).

 

Взаимодействие партнёров с участием ЦС

На предварительном этапе каждый из партнёров лично посещает ЦС и получает личный сертификат - своеобразный электронный аналог гражданского паспорта (см. Рис. 1.7.10).

 

Сертификат х. 509

После посещения ЦС каждый из партнёров становится обладателем открытого ключа ЦС. Открытый ключ ЦС позволяет его обладателю проверить подлинность открытого ключа партнёра путём проверки подлинности ЭП удостоверяющего центра под сертификатом открытого ключа партнёра. В соответствии с Федеральным законом «Об электронной подписи» сертификат ключа проверки ЭП содержит следующую информацию:

o даты начала и окончания срока его действия;

o фамилия, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения — для юридических лиц или иная информация, позволяющая дентифицировать владельца сертификата ключа проверки ЭП;

o ключ проверки ЭП;

o наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствуют ключ ЭП и ключ проверки ЭП;

o наименование удостоверяющего центра, который выдал сертификат ключа проверки ЭП;

o иная информация, предусмотренная частью 2 статьи 17 настоящего Федерального закона, - для квалифицированного сертификата.

Этот сертификат ключа проверки ЭП подписан на «секретном» ключе ЦС, поэтому любой обладатель «открытого» ключа ЦС может проверить его подлинность. Таким образом, использование сертификата ключа проверки ЭП предполагает следующую схему электронного взаимодействия партнёров. Один из партнёров посылает другому собственный сертификат, полученный из ЦС, и сообщение, подписанное ЭП. Получатель сообщения осуществляет проверку подлинности сертификата партнёра, которая включает:

o проверку доверия эмитенту сертификата и срока его действия;

o проверку ЭП эмитента под сертификатом;

o проверку аннулирования сертификата.

В случае если сертификат партнёра не утратил свою силу, а ЭП используется в отношениях, в которых она имеет юридическое значение, открытый ключ партнёра извлекается из сертификата. На основании этого открытого ключа может быть проверена ЭП партнёра под ЭД.

Важно отметить, что в соответствии с Федеральным законом «Об электронной подписи» подтверждением подлинности ЭП в ЭД является положительный результат проверки соответствующим сертифицированным средством ЭП с использованием сертификата ключа подписи (см. Рис. 1.7.11).

ЦС, обеспечивая безопасность взаимодействия партнёров, выполняет следующие функции:

o создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);

o устанавливает сроки действия сертификатов ключей проверки электронных подписей;

o аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;

o выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

o ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;

o устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети «Интернет»;

o создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

o проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;

o осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;

o осуществляет иную связанную с использованием электронной подписи деятельность.

 

Формирование и проверка ЭП

В ЦС создаются условия безопасного хранения секретных ключей на дорогом и хорошо защищённом оборудовании, а также условия администрирования доступа к секретным ключам.
Регистрация каждой ЭП осуществляется на основе заявления, содержащего сведения, необходимые для выдачи сертификата, а также сведения, необходимые для идентификации ЭП обладателя и передачи ему сообщений. Заявление подписывается собственноручной подписью обладателя ЭП, содержащиеся в нем сведения подтверждаются предъявлением соответствующих документов. При регистрации проверяется уникальность открытых ключей ЭП в реестре и архиве ЦС.

Важно отметить, что в соответствии с законом «Об электронной подписи» владелец сертификата проверки ключа ЭП—исключительно физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа и которое владеет соответствующим закрытым ключом ЭП.

Кроме того, сертификат ключа подписи - электронный документ с ЭП уполномоченного лица удостоверяющего центра. Поэтому устойчивость всей инфраструктуры открытых ключей связана с сертификатом, выданным на уполномоченное физическое лицо. Смена работы или завершение земного пути уполномоченного лица УЦ приведёт к компрометации всех сертификатов, сформированных данным УЦ.

При регистрации в ЦС оформляются на бумажных носителях два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями обладателя ЭЦП и уполномоченного лица удостоверяющего центра и печатью удостоверяющего центра. Один экземпляр выдаётся обладателю ЭП, второй остаётся в удостоверяющем центре.

В реальных системах каждым партнёром может использоваться несколько сертификатов, выданных различными ЦС. Различные ЦС могут быть объединены инфраструктурой открытых ключей или PKI (PKI - Public Key Infrastructure). ЦС в рамках PKI обеспечивает не только хранение сертификатов, но и управление ими (выпуск, отзыв, проверку доверия). Наиболее распространённая модель PKI - иерархическая (см. Рис. 1.7.12). Фундаментальное преимущество этой модели состоит в том, что проверка сертификатов требует доверия только относительно малому числу корневых ЦС. В то же время эта модель позволяет иметь различное число ЦС, выдающих сертификаты.


Иерархия ЦС

Дата добавления: 2022-01-22; просмотров: 16; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая27282930313233343536Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.013)