Читайте также:
|
|
Использование открытых ключей порождает ряд проблем. Предположим, все открытые ключи некоторого сообщества участников делового взаимодействия хранятся на интернет-сервере, где находится ваш хостинг. В этом случае злоумышленник С вполне может сгенерировать собственную пару ключей - открытый и секретный - и заменить хранящийся на общедоступном сервере открытый ключ абонента Б своим открытым ключом. После этого он получает возможность рассылать от имени абонента Б документы, подписывая их собственным секретным ключом. Получатели же сообщений будут уверены в том, что они отправлялись абонентом Б и результат проверки ЭЦП будет положительным.
Таким образом, открытые ключи должны быть надежно защищены от подмены. Для решения этой проблемы наиболее перспективным считается подход, использующий архитектуру PKI (Public Key Infrastructures), или по-русски - Инфраструктуру открытых ключей (ИОК).
ИОК вводит понятие Удостоверяющего Центра - доверенного лица, выполняющего ряд функций, связанных с управлением открытыми ключами в информационной системе.
Главной особенностью применения ИОК является защищенный механизм хранения открытых ключей. Если в обычной схеме открытый ключ абонента А абонент B получал с Интернет-сервера, и возникала возможность подмены открытого ключа абонента B, то в случае создания инфраструктуры открытых ключей все открытые ключи подписываются секретным ключом Удостоверяющего Центра. Открытый ключ Удостоверяющего Центра раздается всем участникам системы вместе с их личными секретным и открытым ключами.
Открытый ключ абонента вместе с информацией об абоненте, подписанный секретным ключом Удостоверяющего Центра называется сертификатом абонента. Открытый ключ Удостоверяющего Центра подписывается точно так же и называется Сертификатом авторитета.
Информация об абоненте содержит фамилию, имя, отчество владельца, срок действия сертификата, наименование удостоверяющего центра, выдавшего сертификат, и ряд дополнительных сведений. Вся перечисленная информация заверена подписью Центра.
Использование этой схемы делает ненужным сосредоточение всех сертификатов (или открытых ключей) на одном открытом Интернет-сервере. Два абонента собирающиеся установить зашифрованную переписку - просто договариваются об этом и обмениваются по открытым каналам своими сертификатами.
Для использования цифровой подписи абонентам не нужно даже обмениваться сертификатами, абонент A подписывает документ, вместе с его ЭЦП к документу добавляется и сам сертификат абонента A. Теперь любой участник системы, сможет проверить подлинность электронной цифровой подписи абонента A.
Центр сертификации формирует закрытый ключ и собственный сертификат, сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.
Дата добавления: 2014-12-19; просмотров: 27 | Поможем написать вашу работу | Нарушение авторских прав |