Сертификаты в почтовых клиентах и Web-браузерах

Перейдем от теории к практике. Мы много говорили о сертификатах, пришла пора взглянуть на них собственными глазами. Запустите браузер Firefox. Откройте окно «Настройки Firefox» и перейдите в группу настроек «Дополнительно». Перейдите на вкладку «Шифрование» и щелкните кнопку «Просмотр сертификатов». Откроется окно менеджера сертификатов Firefox (рис. 3). Между прочим, менеджер сертификатов Firefox позволяет не только просматривать, но и устанавливать, и экспортировать сертификаты. Сертификаты в окне менеджера сгруппированы по несколькими вкладкам. Каждому сертификату соответствует древовидная структура, отражающая путь сертификации, заканчивающийся именем удостоверяющего центра. Обратите внимание, что сертификаты, установленные в Firefox разделены по категориям: личные сертификаты, сертификаты других людей, сертификаты сайтов и сертификаты центров сертификации (корневые сертификаты). Наибольший интерес для нас представляют личные сертификаты (у вас, скорее всего, личных сертификатов еще нет, но скоро вы узнаете, как их получить). Личными считаются сертификаты, установленные вместе с секретным ключом. Поскольку для создания подписи нужен секретный ключ, удостоверить ее можно только личным сертификатом. В вашей системе могут быть установлены не-коневые сертификаты, для которых у вас нет секретного ключа (они располагаются в категориях «сертификаты других людей» или «сертификаты сайтов»). Эти сертификаты можно использовать при шифровании сообщений (с помощью содержащегося в них открытого ключа), предназначенных для владельца секретного ключа.

Рисунок 3. Окно менеджера сертификатов

Для передачи сообщений, подписанных и зашифрованных с помощью ключей и сертификатов PKI, используется протокол S/MIME. К подписанному сообщению протокол S/MIME прикрепляет сертификат, удостоверяющий подпись, так что, получив подписанное письмо, вы получаете и открытый ключ его отправителя. Вы можете зашифровать свой ответ, используя этот открытый ключ. И передать зашифрованное сообщение по протоколу S/MIME. Тот, кто подписал адресованное вам письмо, сможет расшифровать ваш ответ с помощью своего секретного ключа. Поскольку ассиметричные алгоритмы шифрования ресурсоемки, сам документ обычно шифруется с помощью менее требовательного симметричного алгоритма, а открытый ключ применяется только для шифрования «симметричного» ключа.

В заключение этой, вводной, части, рассмотрим фрагмент настоящего сертификата

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/[email protected] Validity Not Before: Mar 30 12:29:49 2003 GMT Not After: Mar 29 12:29:49 2033 GMT Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/[email protected]
Subject Public Key Info:
Public Key Algorithm: rsaEncryption RSA
Public Key: (4096 bit)
Modulus (4096 bit):...

Этот сертификата является КС удостоверяющего центра CA Cert (обратите внимание, что УЦ выдает этот сертификат самому себе). Как и все КС, этот сертификат обладает длительным сроком валидности (до 2033 года). Интересно отметить также, что сертификат был выпущен в 2003 году, то есть тогда, когда об уязвимости алгоритма MD5 еще не было известно, поэтому цифровая подпись сертификата получена с помощью алгоритма MD5, о чем свидетельствует строка

Signature Algorithm: md5WithRSAEncryption

В принципе это означает, что можно выпустить подложный КС с той же цифровой подписью, однако толку от этого будет немного (подложные КС можно изготовить многими другими способами, но для распространения таких КС нужен надежный канал, которому доверяет множество пользователей). Что же касается не-корневых сертификатов, для которых подлог был бы действительно опасен, то все они сейчас подписываются с помощью SHA1.

Дата добавления: 2014-01-13; Просмотров: 352; Нарушение авторских прав?; Мы поможем в написании вашей работы!