Центр сертифікації

У криптографії центр сертифікації або засвідчує центр ( англ. Certification authority, CA ) - Сторона (відділ, організація), чия чесність незаперечна, а відкритий ключ широко відомий. Завдання центру сертифікації - підтверджувати справжність ключів шифрування за допомогою сертифікатів електронного підпису.

Технічно центр сертифікації реалізований як компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів. Відкриті ключі та інша інформація про користувачів зберігається засвідчують центрами у вигляді цифрових сертифікатів.


1. Потреба в центрі сертифікації

Асиметричний шифр дозволяє шифрувати одним ключем, а розшифровувати іншим. Таким чином, один ключ (ключ розшифровки, "секретний") зберігається у приймаючої сторони, а другий (ключ шифрування, "відкритий") можна отримати при сеансі прямого зв'язку, поштою, знайти на "електронній дошці оголошень", і т. д . Але така система зв'язку залишається вразливою для зловмисника, який представляється Алісою, але віддає свій відкритий ключ, а не її.

Для вирішення цієї проблеми ключ Аліси підписується центром сертифікації. Звичайно ж, передбачається, що центр сертифікації чесний і не підпише ключ зловмисника. І друга вимога: відкритий ключ центру сертифікації поширюється настільки широко, що ще до встановлення зв'язку Аліса і Боб матимуть цей ключ, і зловмисник нічого не зможе з цим зробити.

Коли мережа дуже велика, навантаження на центр сертифікації виходить велика. Тому сертифікати можуть утворювати ланцюжки: кореневий центр сертифікації підписує ключ служби безпеки компанії, а та - ключі співробітників. Чесними мають бути всі члени ланцюжка, а мати широко відомий ключ досить кореневого центру.

Нарешті, секретні ключі абонентів час від часу розкриваються. Тому, якщо є можливість зв'язатися безпосередньо з центром сертифікації, останній повинен мати можливість відкликати той чи інший сертифікат.

На випадок, якщо є дешевий відкритий канал зв'язку (наприклад, Інтернет) і дорогий засекречений (наприклад, особиста зустріч), існують самозаверенние сертифікати. Їх, на відміну від звичайних, дистанційно відкликати неможливо.


2. Основні відомості

Центр сертифікації - це компонент глобальної служби каталогів, що відповідає за управління криптографічними ключами користувачів.

Відкриті ключі та інша інформація про користувачів зберігається центрами сертифікації у вигляді цифрових сертифікатів, що мають наступну структуру:

  • серійний номер сертифіката;
  • об'єктний ідентифікатор алгоритму електронного підпису;
  • ім'я засвідчує центру;
  • термін дії сертифіката;
  • ім'я власника сертифіката (ім'я користувача, якому належить сертифікат);
  • відкриті ключі власника сертифіката (ключів може бути декілька);
  • об'єктні ідентифікатори алгоритмів, асоційованих з відкритими ключами власника сертифіката;
  • електронний підпис, згенерована з використанням секретного ключа посвідчує центру (підписується результат хешування всієї інформації, що зберігається в сертифікаті).

Відмінністю акредитованого центру є те, що він перебуває в договірних відносинах з вищим центром, що засвідчує і не є першим власником самоподпісанного сертифіката в списку засвідчених кореневих сертифікатів. Кореневий сертифікат акредитованого центру посвідчений вищестоящим центром, що засвідчує в ієрархії системи посвідчення. Таким чином, акредитований центр отримує "технічне право" роботи і успадковує "довіра" від організації, що виконала акредитацію.

Акредитований центр сертифікації ключів зобов'язаний виконувати всі зобов'язання та вимоги, встановлені законодавством країни перебування чи організацією, що проводить акредитацію в своїх інтересах і у відповідності зі своїми правилами.

Порядок акредитації та вимоги, яким повинен відповідати акредитований центр сертифікації ключів, встановлюються відповідним уповноваженим органом держави або організації, що виконує акредитацію.

Центр сертифікації ключів має право:

  • надавати послуги за посвідченням сертифікатів електронного цифрового підпису
  • обслуговувати сертифікати відкритих ключів
  • отримувати та перевіряти інформацію, необхідну для створення відповідності інформації зазначеної у сертифікаті ключа і пред'явленими документами.