logo
125 Кібербезпека / 4 Курс / 4

Перевірка справжності

Один із способів визначення справжності сертифіката - деяка механічна процедура. Існує кілька методик її проведення. Наприклад, ви можете попросити свого кореспондента передати копію його відкритого ключа «фізично», тобто вручити на жорсткому носії - магнітному або оптичному диску і т.п. Але найчастіше це буває незручно і неефективно.

Інший варіант - звірити відбиток (fingerprints) сертифіката. Наскільки унікальні відбитки пальців людей, настільки ж унікальні і відбитки кожного сертифіката PGP. Відбиток - це хеш-значення сертифікату користувача, яке показано як одна з його властивостей. У PGP відбиток може бути представлений або як шістнадцяткове число, або як набір т.зв. біометричних слів, фонетично чітких і застосовуваних для спрощення вербальної ідентифікації відбитка.

Ви можете визначити справжність сертифікату зателефонувавши власнику ключа (таким чином, що ви почнете комунікацію) і попросивши його прочитати відбиток з його ключа; вам же потрібно звірити цей відбиток проти того, який перебуває на отриманій вами копії. Такий спосіб допустимий, якщо вам знайомий голос кореспондента, але як ви встановите особистість того, з ким навіть незнайомі? Деякі з цією метою поміщають відбитки ключів на свої візитні картки.

Ще один метод визначення автентичності чужого сертифікату - покластися на думку третьої сторони, вже встановила його справжність.

ЦС, наприклад, відповідально за детальну перевірку належності відкритого ключа передбачуваному власникові перед видачею йому сертифіката. Будь-який користувач, що довіряє ЦС, буде автоматично розцінювати справжніми всі сертифікати, підписані ЦС.

Паралельний аспект перевірки автентичності і достовірності полягає в тому, щоб переконатися, що сертифікат не був анульований (відкликаний). За додатковою інформацією з цього питання звертайтеся до параграфу «Анулювання сертифіката».