1.3. Инфраструктура открытых ключей.

Сертификаты

Создание цифровой подписи позволило решить проблему сертификации открытых ключей. Она заключается в том, что перед тем как использовать открытый ключ некоторого абонента для отправки ему конфиденциального сообщения, отправитель должен быть уверен, что открытый ключ дейст­вительно принадлежит этому абоненту. Открытые ключи не­обходимо очень тщательно обезопасить, в том смысле, что если сервер, на котором они хранятся, не обеспечивает их це­лостность и аутентичность, то злоумышленник имеет возможность, подменив открытый ключ одного из абонентов, выступать от его имени. Поэтому для защиты открытых клю­чей создаются специальные центры сертификации, которые играют роль доверенной третьей стороны и заверяют откры­тые ключи каждого из абонентов своими цифровыми подпи­сями.

Сертификат представляет собой набор данных, заверен­ный цифровой подписью центра, включающий открытый ключ и список дополнительных атрибутов, принадлежащих абоненту. К таким атрибутам относятся: имена пользователя и центра сертификации, номер сертификата, время действия сертификата, предназначение открытого ключа (цифровая подпись, шифрование) и т. д.

Международный стандарт ISO X.509 определяет общую структуру сертификатов открытых ключей и протоколы их использования для аутентификации в распределенных систе­мах.

Центры сертификации

Центр сертификации предназначен для регистрации абонентов, изготовления сертификатов открытых ключей, хранения изготовленных сертификатов, поддержания в акту­альном состоянии справочника действующих сертификатов и выпуска списка досрочно отозванных сертификатов.

Для сетей с большим числом абонентов создается не­сколько центров сертификации. Центры сертификации объе­диняются в древовидную структуру, в корне которой нахо­дится главный центр сертификации, который выдает серти­фикаты подчиненным ему отраслевым центрам, тем самым обеспечивая доверие к открытым ключам этих центров. Каж­дый центр вышестоящего уровня аналогичным образом деле­гирует право выпуска сертификатов подчиненным ему цен­трам. В результате доверие сертификату открытого ключа каждого центра основано на заверении его сертификата клю­чом вышестоящего центра. Сертификаты главного центра подписывает сам главный центр.

Зная иерархию и подчиненность друг другу центров сер­тификации, можно всегда точно установить, является ли або­нент владельцем данного открытого ключа.

Основная трудность при создании центров сертификации заключается в их юридическом статусе и потенциальных фи­нансовых возможностях по выплате компенсаций за ущерб, понесенный в результате невыполнения подписанных цифро­выми подписями с использованием сертификатов, выданных и им центром, договоров и контрактов, сорванных по причи­не отказов от цифровых подписей или их подделки.