Центр сертификации




В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.


Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.


Без честных центров сертификации пропадает то доверие, на котором работает интернет. В России честность центров сертификации была поставлена под сомнение Счётной палатой Российской Федерации, а правовая система «Гарант» указывала на случаи халатности сотрудников российских УЦ, о чем рассказывается в разделе про манипуляции ниже и в статье про незаконный перевод пенсионных накоплений из ПФР в НПФ.




Содержание






  • 1 Потребность в центре сертификации


  • 2 Основные сведения


  • 3 Манипуляции с электронными подписями в центрах сертификации РФ


  • 4 См. также


  • 5 Примечания


  • 6 Ссылки





Потребность в центре сертификации |


Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.


Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.


Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.


Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».


На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты также технически являются самозаверенными.



Основные сведения |


Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.


Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:



  • серийный номер сертификата;

  • объектный идентификатор алгоритма электронной подписи;

  • имя удостоверяющего центра;

  • срок действия сертификата;

  • имя владельца сертификата (имя пользователя, которому принадлежит сертификат);


  • открытые ключи владельца сертификата (ключей может быть несколько);

  • объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;

  • электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).


Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.


Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.


Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.


Центр сертификации ключей имеет право:



  • предоставлять услуги по удостоверению сертификатов электронной цифровой подписи

  • обслуживать сертификаты открытых ключей

  • получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.



Манипуляции с электронными подписями в центрах сертификации РФ |



  • В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей[1]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи[2], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформлении документов без участия гражданина[3]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков[4], причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры[5]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами[6], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова[7]. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента[8]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную[9], однако, доверие к российским УЦ было безвозвратно потеряно[10].

  • Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[11]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[12]. Недопустим выпуск сертификата электронной подписи по рукописной доверенности[13].



См. также |



  • VeriSign

  • Let's Encrypt

  • GlobalSign



Примечания |





  1. «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» 2008-2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017


  2. «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.


  3. «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017


  4. «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,


  5. «ПФР будет работать по-новому после критики Счетной палаты» «Ведомости» от 28 июня 2017


  6. «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» «РБК» от 27 июня 2017


  7. «Выявлены массовые фальсификации при переводе пенсионных накоплений» «Ведомости» от 27 июня 2017


  8. «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. «Однако в конце декабря эти электронные подписи клиентов использовались вторично», — констатирует эксперт».


  9. «Минтруд решил осложнить перевод пенсионных накоплений» «Ведомости» от 16 января 2017


  10. «НПФ решили проблему перехода» Газета «Коммерсантъ» №239 от 22.12.2017, стр. 10.


  11. «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» «Гарант» от 7 декабря 2017


  12. «Оформление электронной подписи без личного присутствия нарушает закон» «Электронный экспресс», 2018.


  13. «Риски выпуска сертификата электронной подписи по рукописной доверенности» Компания «Гарант» от 19 января 2018.




Ссылки |



  • Перечень центров сертификации по странам




  • Удостоверяющие центры в каталоге ссылок Open Directory Project (dmoz)

  • Список корневых сертификатов, включенных в Firefox

  • Обзор Удостоверяющих Центров








Popular posts from this blog

浄心駅

カンタス航空