Сертификация открытых ключей. Сертификационные агентства

данному
конкретному человеку

и может незаметно читать все сообщения для Даши

человеком и ОК.

ключом удостоверяющего центра (УЦ), проверяющего и подтверждающего принадлежность ОК определенному лицу.

ключам пользователя, а значит и к информации

ведение базы открытых ключей

создание и поддержание списков аннулированных сертификатов

Рассылка базы открытых ключей

администратор может лишь подменить открытый ключ абонента или включить фиктивного пользователя

СА

третьих лиц

отображает степень
уверенности в том,
что ключ принадлежит
номинальному владельцу

подразделений

уникальный порядковый номер

имя СА по формату Х.500

алгоритм ЭЦП и хэш-функция,
используемые СА для подписи сертификата;

Структура сертификата по стандарту Х.509

информация об ОК субъекта

подпись сертификата

Срок действия

идентификатор субъекта

уникальный
идентификатор издателя

уникальный
идентификатор субъекта

Дополнения.
Каждое
дополнение
состоит из
трех полей:

Версия 3 содержит:

value

critical

type

доступа
пользователя к
электронной почте

сертификаты
высшего
класса выдаются
в присутствии
представителей
компании

пользователей

хватает ресурсов и времени для формирования внутренней инфраструктуры открытых ключей PKI

необходима совместимость сертификатов организаций

подчиненного СА, выданный главным СА партнера

недостаток - чрезмерное доверие между организациями

иметь ни квалифицированного персонала, ни ресурсов

цифровой сертификат, выданной одной компанией, признается сотрудниками и партнерами только этой компании

Достоинство

Недостатки

внешнего сертификационного агентства и достоинства модели подчиненных инстанций в рамках одного предприятия

модель масштаба предприятия с подчиненными инстанциями

удобно использовать в случае небольших организаций

требуется полное доверие по отношению к агентству

сохраняется контроль над процедурой шифрования

к главному предприятию подсоединяется СА

СА выдает сертификаты внутри подразделения

полный контроль за выдачей сертификатов

обеспечивается свободное время администратора

подчиненные СА, выдающие сертификаты отдельным подразделениям

полный контроль за выдачей сертификатов

дает возможность СА подразделений выдавать сертификаты своим сотрудникам.

подчиненными инстанциями

Достоинство

Сочетает

Коммерческое главное СА

Иерархия СА в рамках предприятия

Признание сертификатов за рамками предприятия

канала с сервером клиент получает от него сертификат ОК

клиент сверяет имя сервера из сертификата с именем сервера, к которому обращается

при помощи имеющегося у клиента сертификата СА в сертификате сервера определяется подпись СА под ОК сервера, таким образом осуществляется аутентификация сервера

с помощью генератора случайных чисел формируется случайный сеансовый ключ шифрования

сеансовый ключ шифруется на ОК сервера и передается серверу

в итоге сеансовый ключ находится и у клиента и у сервера

сервера

Определение СА,
подписавшего сертификат

Проверка ЭП

Если все проверки прошли успешно,
устанавливается соединение с сервером

Аутентификация
сервера

Формирование случайного сеансового
ключа шифрования для данного сеанса
SSL с помощью генератора
случайных чисел

Шифрование случайного сеансового
ключа на ОК сервера

Передача зашифрованного сеансового ключа

Расшифровка сеансового ключа с помощью ЛК

Использование сеансового ключа
клиентом и сервером для шифрования
передаваемых данных

Упрощенная схема работы протокола SSL

сертификат

положительный результат проверки свидетельствует о том, что пользователь действительно прошел регистрацию в СА и является тем, за кого себя выдает, а содержащиеся в его сертификате ОК и другие сведения принадлежат данному пользователю

сервер извлекает из сертификата ОК пользователя и проверяет подпись пользователя

с помощью ОК, указанного в сертификате агентства, проверяется подпись СА

положительный результат свидетельствует, что пользователь является владельцем ЛК, парного с указанным ОК