Дигитален сертификат

Од Википедија — слободната енциклопедија
Прејди на: содржини, барај
Дијаграм за пример употреба на дигитален сертификат

Во криптографијата, сертификат на јавен клуч (исто така познат како дигитален сертификат или сертификат на идентитет ) е електронски документ кој користи дигитален потпис да го поврзе јавниот клуч со идентитетот - информации како на пример името на лицето или организацијата, нивната адреса, и така натаму. Сертификатот може да се користи за да се потврди дека јавниот клуч припаѓа на поединецот.

Во една типична инфраструктура на дигитални сертификати или (PKI) шема, потписот ќе биде на авторитетот на сертификати (CA). Во шемата за доверба на веб сајтот, потписот му припаѓа или на корисникот или само доделениот сертификат или ("текстовите") на другите корисници. Во секој случај, потписи на сертификатот се потврдуваат со потписник на сертификатот дека информациите за идентитетот и дигиталниот клуч одат заедно.

За докажување на безбедностa ова потпирање на нешто што е надвор од системот има последица дека секој шема на сертификација со јавен клуч треба да се потпира на некои посебни претпоставви, како на пример постоењето на сертификати.[1]

Сертификати може да се создадaт за Unix-базирани сервери со команди на алатки како што се OpenSSLca.[2] или SuSE. Овие може да се користат за издавање неменаџирани сертификати, авторитет за сертификати (CA), сертификати за управување со други сертификати, за барања за корисничките и/или компјутерските сертификати да биде потпишани од страна на CA, како и голем број на други функции поврзани со сертификати.

Слично на тоа, Microsoft Windows 2000 Server и Windows Server 2003 содржат авторитет за сертификација (CA) како дел од услуги за сертификат за создавање на дигитални сертификати. Во Windows Server 2008 CA може да се инсталира како дел од Active Directory . На CA се користи за управување на сертификати за корисници и / или компјутери. Microsoft исто така обезбедува голем број на различни сертификатски услуги, како SelfSSL.exe за создавање неменаџирани сертификати, и Certreq.exe за креирање и поднесување уверение кое треба да биде потпишано од страна на CA, и certutil.exe за голем број на други функции поврзани со сертификатите.

Содржина на типичен дигитален сертификат[уреди]

Сериски број: Се користи за да се идентификува уникатно сертификатот.

Предмет: Лице, или ентитет што се идентификува.

Алгоритам за Потпис : Алгоритам што се користи за креирање на потпис.

Потпис: Актуелна потпис да се потврди дека станува збор за издавачот.

Издавач: ентитет што ја идентификува информацијата и го издава сертификатот.

Валиден-Од: Датумот на сертификатот од кој почнува да важи.

Валиден-до: Датумот на истекување на сертификатот.

Клучни-Употреба: Целта на јавниот клуч (на пр. енкриптирање, потпис, потпишување на сертификат ...).

Јавен клуч: Јавниот клуч.

Алгоритам на Печатот : Алгоритам што се користи за хаширање на јавниот клуч.

Печат: Самиот хаш, што се користи како скратена форма на јавен клуч.

Класификација[уреди]

Добавувачки дефинирани класи[уреди]

VeriSign го користи концептот на класи за различни типови на дигитални сертификати [3]:

  • Класа 1 за поединци, наменета за електронско писмо.
  • Класа 2 за организациите, каде е потребен идентитетот за доказ.
  • Класа 3 за сервери и софтвери, за кои независната верификација и проверка на идентитет и авторитет е направена од страна на издавање на сертификати.
  • Класа 4 за онлајн бизнис |трансакции меѓу компаниите.
  • Класа 5 за приватни организации или владинa безбедност.

Другите добавувачи можат да изберат да користат различни класи или класи кои не се специфицирани со SSL протоколот иако, повеќето не се одлучуваат да ги користат класите во некоја форма.

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) се два најраспространети безбедносни протоколи денес во употреба. SSL во суштина е протокол кој овозможува безбеден канал меѓу две машини кои работат преку интернет или внатрешна мрежа. Во денешниот интернет фокусиран свет, обично SSL се употребува кога преку веб прелистувачот треба да безбедно се поврзете со веб серверот преку несигурни интернет.

Технички SSL е транспарентен протоколот, кој бара малку интеракција од крајниот корисник при воспоставување на безбедна сесија. На пример, во случај на прелистувач, корисниците се предупредени за присуство на SSL кога прелистувачот ги прикажува катанец, или во случај на напредна валидација SSL полето за адреса прикажува и катанец и зелена лента или зелено име. Ова е клучот на успехот на SSL - тој обезбедува едноставено, но сигурно искуство за крајните корисници.

Користење во Европската унија[уреди]

Директивата на Европска Унија во рамка на Заедницата за електронски потписи[4] го дефинира терминот квалификуван сертификат како "потврда која ги задоволува барањата утврдени во Анекс I и е обезбедена од страна на сервис-провајдерот за сертификација кој ги исполнува условите утврдени во Анекс II ":

Анекс I: Барања за квалификувани сертификати

Квалификуваните сертификати треба да содржат:

(а) индикација дека сертификатот е издаден како квалификуван сертификат;

(б) идентификација на сервис-провајдерот за сертификација и државата во која тој е прифатен;

(в) името на потписникот или псевдоним, кои ќе бидат идентификувани;

(г) обезбедување за специфични атрибути на потписникот да бидат вклучени доколку тоа е важно, во зависност од тоа за што е наменет сертификатот;

(д) податоци за верификација на потпис кои одговараат на создавање на потписи под контрола на потписникот;

(ѓ) наведување на почетокот и на крајот на периодот на важење на сертификатот;

(е) идентитеификувачки код на сертификатот;

(ж) напреден електронски потпис што го издава сервис-провајдерот;

(з) ограничувања на обемот на користење на сертификатот, ако е потребно;

(ѕ) ограничувања на вредноста на трансакциите за кои сертификатот може да се користи, ако тое е применливо.

Барања на Анекс II за сервис-провајдери за сертификација што издаваат сертификати

Провајдерите за сертификација мора да:

(а) демонстрираат сигурност потребна за обезбедување на услуги на сертификација;

(б) обезбеди функционирање на брз и безбеден директориум и сигурно и итно повлекување на услуги;

(в) да се осигура дека датумот и времето кога сертификатот е издаден или отповикан може да се утврдат точно;

(г) да го потврди идентитетот, со соодветни средства во согласност со националното законодавство, и доколку е применливо, да одобри специфични атрибути на лицето на кое му се издава квалификуван сертификат;

(д) вработување на персонал кој поседува стручно знаење, искуство, и квалификации потребни за услугите, особено надлежност на раководно ниво, експертиза во технологија на електронски потпис и има блискост со соодветните безбедносни процедури. Тие исто така мора да се вклучат административни и управувачки процедури кои се соодветни и одговараат на прифатените стандарди;

(ѓ) употреба на сигурен системи и производи кои се заштитени од промена и да се обезбеди техничка и криптографска безбедност на процесот;

(ж) да превземе мерки против фалсификување на сертификати, а во случаите каде што сервис-провајдерот генерира податоци за создавање на потписи, да гарантира доверливост за време на процесот на генерирање на такви податоци;

(з) одржување на доволно финансиски средства за да работат во согласност со барањата утврдени во оваа Директива, особено да носат ризик за одговорност за штета, на пример, со добивање на соодветно осигурување;

(ѕ) ги снимаат сите релевантни информации во врска со квалификуван сертификат за соодветен период на време, особено заради обезбедување на докази за сертификација за потребите на правните постапки. Таквите снимања може да се вршат по електронски пат;

(и) не ги чуваат или копираат податоците за создавање на потписи за лицето на кое сервис провајдерот за сертификација ги обезбедува клучните управувачки сервиси;

(ј) пред да влезат во договорен однос со лицето кое бара сертификат за поддршка на неговиот електронски потпис да го известат тоа лице за прецизни рокови и услови во однос на употребата на сертификатот, вклучувајќи какви било ограничувања на неговата употреба, постоењето на можноста за акредитација и процедури за жалби и решавање на спорот. Таквите информации, кои може да се пренесуваат по електронски пат, мора да бидат во писмена форма и на разбирлив јазик. Релевантните делови од оваа информација, исто така, мора да бидат достапни на барање на трети лица кои се потпираат на сертификатот;

(к) употреба на сигурен системи за чување на сертификати во верификувачка форма, така што:

  • Само овластени лица да внесат записи и промени,
  • Информациите може да се проверат за автентичност,
  • Сертификатите се јавно достапни за пронаоѓање само во оние случаи за кои носителот на сертификатот има издадено согласност,
  • Сите технички промени кои може да ги загрозат овие барања за безбедност се видливи за операторот.

Сертификати и безбедност на веб сајт[уреди]

Најчестата употреба на сертификати е за HTTPS-базирани веб сајтови. Веб прелистувачот потврдува дека SSL веб серверот е автентичен, така што корисникот може да се чувствува сигурни дека неговата / нејзината интеракција со веб сајтот е е безбедна и дека веб сајтот е тоа што тврди дека е. Оваа гаранција е важна за електронската трговија. Во пракса, веб-сајт операторот добива сертификат со услуги од провајдерот кој претставува комерцијален продавач на сертификати, со потпишување на барањето за сертификат. Барањето за сертификатот електронски документ кој гo содржи името на веб сајтот, контакт адресата и информациите за компанијата. Провајдерот за сертификат го потпишува барањето, со што сертификатот станува јавен. Во текот на веб прелистувувањето, јавниот сертификат се нуди на било кој веб пребарувач, кој се поврзува со веб-сајтот и се докажува на веб прелистувачот дека е издаден сертификат на сопственикот на веб-сајтот.

Пред издавање на сертификат, провајдерот за сертификати ќе побара контакт e-mail адреса за веб-сајтот од јавниот домен, и ќе провери дали објавената адреса е иста со онаа доставена во барањето за сертификатот. Затоа, https веб сајт е само сигурен до тој степен што крајниот корисник може да бидете сигурен дека веб-сајт е управуван од страна на некој во контакт со лицето кое го регистрирало доменот.

Како пример, кога корисникот се поврзува до https://www.example.com/ со својот интернет пребарувач, ако на прелистувачот не се појавува сертификат предупредувачка порака, тогаш на корисникот може да е теоретски сигурен дека интеракцијата со https://www.example.com/ е еквивалентна на интеракцијата со субјектот во контакт со е-маил адресата наведена во јавниот регистер под "example.com ", иако оваа е-маил адреса не може да биде прикажана никаде на веб-сајтот. Понатаму, односот помеѓу купувачот на сертификатот, операторот на веб-сајтот и генераторот на содржина на веб-сајтот може да биде блед и не е загарантиран. Во најдобар случај, сертификатот гарантира уникатност на веб-сајтот, под услов веб-сајтот сам по себе не е компромитиран (хакиран).

Напредна валидација[уреди]

Провајдерите за сертификат нудат сертификати со "поголема безбедност" кои бараат дополнителни безбедносни проверки и затоа побаруваат многу повисоки надоместоци. Ова се нарекува напредна валидација на сертификат. Овие безбедносни проверки ги поврзуваат сопственикот на името на доменот со сопственикот на легалниот ентитет. (Овие проверки може да вклучат презентација на сметки, пасоши, итн) Разликата меѓу овие повисоки безбедносни сертификати и обичните сертификати е тоа дека URL барот на прелистувачот се менува во различна боја, обично во зелена. Ова подобрување на безбедноста претпоставува дека корисниците ги знаат значењата на боите и дека би одбрале да се движат надвор од сајтот, ако бојата на кодот не е пропорционална со целта на веб-сајтот. Да биде појасно, за https:// веб страница, разликата меѓу тоа да нема сертификат, и има обичен сертификат е дека прелистувачот ќе одбие да пристапи на овој сајт без потврдува со корисникот. За споредба, разликата меѓу обичниот сертификат и подобрената валидација е само промена во бојата.


Слаби страни[уреди]

Веб прелистувачот нема да даде предупредување до корисникот ако веб-сајтот одеднаш претставува различен сертификат, дури и ако тој сертификат има помал број на клучните битови, дури и ако во него нема напредна валидација, дури и ако има различни услуги, па дури и ако претходниот сертификат сеуште трае. Онаму каде што услугите за сертификат се во надлежност на владите, владата може да ја има слободата да му нареди на провајдерот за услуги да генерирa сертификат, на пример за целите на спроведување на законот. Провајдерите на услуги за сертификати, исто така имаат слобода да генерираат сертификат. Сите веб пребарувачи доаѓаат со голема вграденa листа на доверливи сертификати, од кои многу се контролирани од непознати организации. Секојa од овие организации е слободна за издавање на сертификатот за било кој веб-сајт и имаат гаранција дека сите веб пребарувачи ќе го прифатат.

Листата на вградените сертификати не е исто така, фиксна: корисниците (и до одреден степен апликациите) може да ја прошират листата за посебни намени како на пример за интранет на компанијата. Оној кој е во можност да се вметне привремено доверлив сертификат во листата на доверливи сертификати на прелистувачот ќе имаат слобода да се генерираат сертификат со гаранција дека веб прелистувач ќе го прифати како автентичен. Единствениот начин да се спознае дали е лажен е внимателно да врши увид на патеката на сертификатот.


Корисност наспроти небезбедни веб-сајтови[уреди]

И покрај ограничувањата што се опишани погоре, SSL автентицираните сертификати се сметаат за задолжителни од страна на сите безбедносни упатства кога веб-сајтот содржи доверливи информации или врши трансакции. Тоа е така затоа што, во пракса и покрај сериозните недостатоци што се опишани погоре, веб сајтови обезбедени со дигитални сертификати се сеуште посигурни од необезбедените http:// веб-сајтови.

Види уште[уреди]

Наводи[уреди]

  1. Ran Canetti: Universally Composable Signature, Certification, and Authentication. CSFW 2004, http://eprint.iacr.org/2003/239
  2. OpenSSL: Documentation ca(1)
  3. VeriSign Class definitions
  4. „Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures“. „Official Journal L 013 , 19/01/2000 P. 0012 - 0020“. Annex II. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31999L0093:EN:HTML. конс. 17 февруари 2010. 

Надворешни врски[уреди]

  • RFC 5280 Интернет X.509 инфраструктура на дигитален сертификат и профил на листа на поништени сертификати (CRL)