Поделиться через


Цифровые сертификаты

Проверка подлинности имеет решающее значение для защиты обмена данными. Пользователи должны иметь возможность подтвердить свою личность тем, с кем они общаются, и должны иметь возможность проверить личность других пользователей. Проверка подлинности по сети довольно сложна, поскольку пользователи, устанавливающие соединение, физически не встречаются. Это может позволить перехватывать сообщения и выдавать себя за другое лицо. Метод должен быть разработан для поддержания необходимого уровня доверия в процессе обмена данными.

Цифровой сертификат — это общие учетные данные, которые предоставляют средства проверки удостоверения. В этом разделе представлен обзор того, как сертификаты обеспечивают безопасное взаимодействие и как использовать CryptoAPI для использования этих сертификатов и управления ими.

Сертификат — это набор данных, определяющих сущность. Надежная организация назначает сертификат отдельному лицу или сущности, которая связывает открытый ключ с отдельным лицом. Лицо или сущность, которой выдан сертификат, называется субъектом этого сертификата. Доверенной организации, которая выдает сертификат, является центром сертификации (ЦС) и называется издателем сертификата. Доверенный ЦС выдает сертификат только после проверки удостоверения субъекта сертификата.

Сертификаты используют криптографические методы для решения проблемы отсутствия физического контакта между ними. Использование этих методов ограничивает возможность неэтичного перехвата, изменения или подделки сообщений. Эти методы шифрования затрудняют изменение сертификатов. Таким образом, сущности трудно олицетворять кого-то другого.

Данные в сертификате включают открытый криптографический ключ из пары открытого и закрытого ключей субъекта сертификата. Сообщение, подписанное с закрытым ключом отправителя, может быть получено только получателем сообщения с помощью открытого ключа отправителя. Этот ключ можно найти в копии сертификата отправителя. Получение подписи с открытым ключом из сертификата подтверждает, что подпись была создана с помощью закрытого ключа субъекта сертификата. Если отправитель был бдительным и сохранил секрет закрытого ключа, получатель может быть уверен в личности отправителя сообщения.

В сети часто существует доверенное приложение, известное как сервер сертификатов. ЦС, работающий на защищенном компьютере, управляет сервером сертификатов. Это приложение имеет доступ к открытому ключу всех своих клиентов. Серверы сертификатов отправляют сообщения, называемые сертификатами, каждый из которых содержит открытый ключ одного из своих пользователей клиента. Каждый сертификат подписан закрытым ключом ЦС. Таким образом, получатель такого сертификата может убедиться, что указанный ЦС отправил его.

Цифровые сертификаты также включают расширения и расширенные свойства, которые предоставляют дополнительные сведения о субъекте сертификата, например адресе электронной почты субъекта и действиях, которые может выполнять субъект сертификата.