logo
125 Кібербезпека / 4 Курс / 4

Встановлення довіри

Ви самі засвідчуєте сертифікати. Але ви також довіряєте людям. Тому ви можете довірити людям і право засвідчувати сертифікати. Як правило, якщо тільки власник сам не вручив вам копію ключа, ви повинні покластися на чиєсь чуже думка про його справжності.

Мета-поручителі і довірені поручителі

У більшості випадків користувачі повністю покладаються на ЦС в перевірці достовірності сертифікатів. Іншими словами, користувачі переконані, що ЦС провів всю механічну процедуру перевірки за них, і впевнені в його поручительства за достовірність засвідчених ним сертифікатів. Така схема працює тільки до певної межі в кількості користувачів PKI, перейшовши який ЦС не зможе дотримуватися колишнього рівня ретельності процедури перевірки. У цьому випадку стає необхідним додавання в систему додаткових «поручителів».

ЦС також може бути мета-поручителем (мета-представником). Мета-поручитель не тільки сам запевняє ключі, але надає й іншим особам (організаціям) повноваження запевнення. За аналогією з тим, як король передає свою особисту печатку або факсиміле наближеним радникам, щоб ті могли діяти від його імені, так і мета-поручитель уповноважує інших діяти в якості довірених поручителів (довірених представників). Ці довірені поручителі можуть засвідчувати ключі з тим же результатом, що і мета-поручитель. Однак, вони не можуть створювати нових довірених поручителів.

«Мета-поручитель» та «довірений поручитель» - це терміни PGP. У середовищі Х.509 мета-поручитель називається кореневим Центром сертифікації (root CA), а довірені поручителі - підлеглими, або проміжними, Центрами сертифікації (subordinate CAs, intermediate CAs).

Кореневий ЦС для підписання ключів використовує закритий ключ, пов'язаний з особливим типом сертифіката, званим кореневим сертифікатом ЦС. Будь сертифікат, підписаний кореневим ключем ЦС, стає достовірним будь-якому іншому сертифікату, підписаного кореневим. Такий процес посвідчення діє навіть для сертифікатів, підписаних іншим ЦС в [пов'язаної] системі - якщо ключ проміжного ЦС підписаний ключем кореневого ЦС, будь-який сертифікат підписаний першим розцінюється вірним в межах ієрархії. Цей процес відстеження вздовж гілок ієрархії того, хто підписав які сертифікати, називається відстеженням шляху, або ланцюга, сертифікатів.