КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Сертификаты открытых ключей
Сертификаты открытых ключей играют важную роль в криптографии открытых ключей. Основное назначение сертификата открытого ключа - сделать доступным и достоверным открытый ключ пользователя.
В основу формирования сертификатов открытых ключей положены принципы строгой аутентификации, рекомендованные стандартом Х.509 и базирующиеся на свойствах криптосистем с открытым ключом.
Криптосистемы с открытым ключом предполагают наличие у пользователя парных ключей - секретного и открытого (общедоступного). Каждый пользователь идентифицируется с помощью своего секретного ключа. С помощью парного открытого ключа любой другой пользователь имеет возможность определить, является ли его партнер по связи подлинным владельцем секретного ключа.
Процедура, позволяющая каждому пользователю устанавливать однозначное и достоверное соответствие между открытым ключом и его владельцем, обеспечивается с помощью механизма сертификации открытых ключей.
Степень достоверности факта установления подлинности (аутентификации) пользователя зависит от надежности хранения секретного ключа и надежности источника поставки открытых ключей пользователей. Чтобы пользователь мог доверять процессу аутентификации, он должен извлекать открытый ключ другого пользователя из надежного источника, которому он доверяет. Таким источником согласно стандарту Х.509 является центр сертификации СА (Certification Authority). Центр сертификации называют также УЦ - удостоверяющим центром.
Центр сертификации СА является доверенной третьей стороной, обеспечивающей аутентификацию открытых ключей, содержащихся в сертификатах. СА имеет собственную пару ключей (открытый/секретный), где секретный ключ СА используется для подписывания сертификатов, а открытый ключ СА публикуется и используется пользователями для проверки подлинности открытого ключа, содержащегося в сертификате.
Сертификация открытого ключа - это подтверждение подлинности открытого ключа и хранимой совместно с ним служебной информацией, в частности о принадлежности ключа. Сертификация ключа выполняется путем вычисления ЭЦП сертифицируемого ключа и служебной информации с помощью специального секретного ключа-сертификата, доступного только центру сертификации СА. Иными словами, сертификация открытого ключа - это подписывание открытого ключа электронной подписью, вычисленной на секретном ключе Центра сертификации.
Открытый ключ совместно с сертифицирующей его ЭЦП часто называют сертификатом открытого ключа или просто сертификатом.
Центр сертификации СА формирует сертификат открытого ключа пользователя путем заверения цифровой подписью СА определенного набора данных.
Наибольшее распространение получили цифровые сертификаты, формат которых определен стандартом X.509. На данный момент, принята третья версия стандарта. Формат сертификата изображен на рис. 2.
Рис. 2. Структура сертификата.
В соответствии с форматом Х.509 в этот набор данных включаются:
Версия. Указывает версию формата сертификата; по умолчанию выбирается версия 1.
Порядковый номер. Целое значение, уникальное для данного центра сертификации, однозначно связываемое с данным сертификатом.
Идентификатор алгоритма подписи. Алгоритм, служащий для создания подписи сертификата, вместе со всеми необходимыми параметрами.
Имя объекта, выдавшего сертификат. Имя по стандарту X.500 центра сертификации, создавшего и подписавшего сертификат.
Срок действия. Включает две даты: начала и окончания срока действия сертификата.
Имя субъекта. Имя пользователя, которому направляется сертификат, т.е. данный сертификат удостоверяет открытый ключ субъекта, которому принадлежит соответствующий личный ключ.
Информация об открытом ключе субъекта. Открытый ключ субъекта плюс идентификатор алгоритма, с которым должен использоваться этот ключ, а также все необходимые параметры.
Уникальный идентификатор объекта, выдавшего сертификат. Необязательная строка битов, которая служит для однозначной идентификации субъекта в случае, когда имя X.500 требуется использовать для различных объектов.
Расширения. Одно или больше полей расширения (добавлены в версии 3).
Подпись. Охватывает все остальные поля сертификата, содержит хэш-код остальных полей, шифрованный с помощью секретного ключа центра сертификации. Это поле включает и идентификатор алгоритма подписи.
Таким образом, цифровой сертификат содержит три главные составляющие:
1) информацию о пользователе - владельце сертификата;
2) открытый ключ пользователя;
3) сертифицирующую ЭЦП двух предыдущих составляющих, вычисленную на секретном ключе СА.
Сертификат открытого ключа обладает следующими свойствами:
1) каждый пользователь, имеющий доступ к открытому ключу центра сертификации СА, может извлечь открытый ключ, включенный в сертификат;
2) ни одна сторона, помимо центра сертификации, не может изменить сертификат так, чтобы это не было обнаружено (сертификаты нельзя подделать).
Так как сертификаты не могут быть подделаны, то их можно опубликовать, поместив в общедоступный справочник и не предпринимая специальных усилий по защите этих сертификатов.
Создание сертификата открытого ключа начинается с создания пары ключей (открытый/секретный).
Процедура генерации ключей может осуществляться двумя способами:
1. СА создает пару ключей. Открытый ключ заносится в сертификат, а парный ему секретный ключ передается пользователю с обеспечением аутентификации пользователя и конфиденциальности передачи ключа.
2. Пользователь сам создает пару ключей. Секретный ключ сохраняется у пользователя, а открытый ключ передается по защищенному каналу в СА.
Каждый пользователь может быть владельцем одного или нескольких сертификатов, сформированных сертификационным центром СА пользователя. Пользователь может владеть сертификатами, полученными из нескольких разных сертификационных центров.
На практике часто возникает потребность аутентифицировать пользователя, который получает сертификаты в другом сертификационном центре. Принципы распределенного администрирования рассматриваются ниже.
|
|
Дата добавления: 2014-01-14; Просмотров: 1612; Нарушение авторских прав?; Мы поможем в написании вашей работы!