Читать «Введение в криптографию» онлайн - страница 14

Филипп Циммерманн

Вы можете представить сертификат Х.509, как обычный бумажный сертификат или аттестат с приклеенным к нему открытым ключом. На нём указано ваше имя, а также некоторые сведения о вас, плюс подпись издателя сертификата.

Вероятно, наибольшая польза от сертификатов Х.509, это их применение в Веб-браузерах.

Подлинность и доверие

Любой пользователь в среде криптосистем с открытым ключом рискует рано или поздно принять по неосторожности поддельный ключ (сертификат) за настоящий. Достоверность (подлинность) состоит в том, что конкретный открытый ключ принадлежит именно тому владельцу, чья идентификационная информация указана в сертификате ключа. Подлинность является одним из важнейших критериев в среде системы открытых ключей, где вы должны определять аутентичность каждого конкретного сертификата.

Убедившись, что чужой открытый ключ достоверен (то есть действительно принадлежит именно предполагаемому владельцу), вы можете подписать копию этого ключа на своей связке, чем засвидетельствуете факт, что вы его проверили и нашли достоверным. Если захотите, чтобы другие знали вашу степень доверия этому сертификату, вы можете экспортировать свою подтверждающую подпись на сервер-депозитарий с тем, чтобы другие могли её видеть и могли на неё положиться при определении подлинности этого ключа.

Как было описано в параграфе "Инфраструктуры открытых ключей (PKIs)", некоторые компании уполномочивают один или несколько Центров сертификации (ЦС) на проверку подлинности сертификатов. В организации, использующей PKI с сертификатами Х.509, задача Центров регистрации состоит в приёме запросов на сертификаты, а задача Центров сертификации — в выдаче сертификатов конечным пользователям: процесс ответа на запрос пользователя на получение сертификата. В организации, использующей сертификаты PGP без PKI, задача ЦС — в проверке достоверности всех PGP-сертификатов и подписании подлинных. Как правило, основная цель ЦС — собственной подписью "связать" открытый ключ с идентификационной информацией, содержащейся в сертификате, чем заверить третьих лиц, что были приняты определённые меры по установлению связи между ключом и идентификационными сведениями.

Центр сертификации в организации — это краеугольный камень системы подлинности и доверия; в некоторых организациях, как, например, в тех, которые используют PKI, ни один сертификат не считается подлинным, пока не будет подписан доверенным ЦС.

Проверка подлинности

Один из способов определения подлинности сертификата — некоторая механическая процедура. Существует несколько методик её проведения. Например, вы можете попросить своего корреспондента передать копию его открытого ключа "физически", то есть вручить на жёстком носителе — магнитном или оптическом диске и т. п. Но зачастую это бывает неудобно и неэффективно.