Формат сертификата X.509 и Сертификат инфраструктуры простого открытого ключа
Некоторые ученые пытались установить объективную связь между публичным ключом и его обладателем.
В 1978 году Лорен Конфельдер разработал концепцию сертификации открытого ключа. Согласно исследованию, проведенному Конфельдером, личная информация физического или юридического лица вместе с информацией о паре ключей должны быть подписаны публичным файлом в цифровой форме.
Подписанный документ называется сертификатом открытого ключа. Этот сертификат будет проверять наличие открытого ключа и должен быть доступен любому человеку, который в нем нуждается.
За прошедшие годы концепция сертификата открытого ключа претерпела ряд усовершенствований. В настоящее время любой человек может подписать и выпустить сертификат открытого ключа, если он является доверенной третьей стороной, доверенным посредником или поставщиком услуг.
Организация, выпускающая сертификат, называется сертификационный центр(СЦ).
Если одна из сообщающих сторон не знает или не доверяет СЦ, который подписал сертификат открытого ключа другой стороны, получатель может попросить других СЦ, которым они доверяют, подтвердить достоверность данного СЦ. Эта систематическая цепочка центров сертификации, поручившихся друг за друга для проверки выданного сертификата открытого ключа, известна как Инфраструктура открытого ключа (ИОК).
Лицо, подавшее заявку на получение сертификата открытого ключа, должно представить в СЦ ряд документов. К ним относятся документы, удостоверяющие личность, копия открытого ключа и доказательства того, что у них есть частный ключ.
Учредительный орган также принимает ряд мер для проверки личности заявителя. К ним относятся личный контакт с заявителем, использование аттестаций уполномоченными лицами и т.д. После того, как СЦ подтвердит достоверность предоставленного содержания, он выпустит и подпишет сертификат.
Имея под рукой сертификат открытого ключа, отправитель может написать сообщение, вычислить его хэш-значение и зашифровать хэш-значение своим закрытым ключом для получения цифровой подписи. Затем может отправить сообщение, цифровую подпись и сертификат открытого ключа в адрес B.
В этом случае отправитель отправит аутентифицированное сообщение.
Для того чтобы сертификаты открытого ключа имели ценность, орган, выдающий сертификаты ключей, должен быть надежным.
Доверие к органу, выдающему сертификаты, может быть обеспечено, посредством использования сети доверительных отношений "Довольно хорошая конфиденциальность". Пользователь сети доверительных отношений, который считается надежным представителем, сертифицирует открытый ключ другого лица с помощью программного обеспечения под предлогом паутины доверия.
Однако сеть "Довольно хорошая конфиденциальность" является неофициальным мероприятием, не регламентирующим следующие вопросы какую модель должна принять паутина доверия, поэтому она не подходит для профессионального использования.
В качестве альтернативы, доверие к СЦ может быть проверено путем оценки практики и процедур, используемых им при выдаче сертификатов, и его внутреннего управления, чтобы обеспечить, что они соответствуют требуемым стандартам.
К ним относятся политика подтверждения личности сотрудников, находящихся под ключевым контролем, и меры по обеспечению ее соблюдения. Кроме того, "качество программного обеспечения, проектирование сети и управление системой безопасности" СЦ будут способствовать отражению его надежности в отношении защиты ключей от атак вредоносного программного обеспечения или от несанкционированного использования.
СЦ может опубликовать свою политику в отношении практики в Заявлении о сертификационной практике.
Сертификационные центры в рамках одной системы ИПК придерживаются той же практики выдачи сертификатов открытого ключа. Форматы сертификатов X.509 и SPKI (Simple Public Key Infrastructure) являются регулярно используемыми форматами сертификации.
Сертификат X.509 является Рекомендацией Международного союза электросвязи (МСЭ). Он описывает схему для сертификатов публичного ключа и, таким образом, органы по стандартизации могут использовать ее для планирования их заявление в PKI. МСЭ представил его в 1996 году и с тех пор приобрел статус стандартного формата сертификатов.
Сертификат X.509 состоит, в частности, из:
- версии используемого формата сертификата (X.509);
- серийного номера сертификата;
- алгоритма подписи эмитента сертификата;
- срока действия сертификата с точки зрения даты и времени;
- имени владельца открытого ключа, который является универсальным.
Сертификат SPKI - это менее сложный сертификат.
Это сертификат авторизации, который позволяет владельцу получить доступ к определенному ресурсу.
Владелец SPKI сертификата делает запрос к защитнику ресурса на использование защищенного ресурса с цифровой подписью. Если защитник ресурса проверит цифровую подпись, он разрешит использование ресурса.
Владелец сертификата SPKI может использовать атрибутный сертификат, который состоит из идентификационных данных с сертификатом SPKI для идентификации личности.