Электронный ключ: особенности получения и использования
Электронный ключ (подпись) является одним из обязательных реквизитов электронных документов. Это уникальная последовательность цифр, сгенерированная случайным образом с использованием криптографических способов преобразования информации. Она дает возможность идентификации лица, владеющего сертификатом для ключа подписи и устанавливает наличие или отсутствие неверных данных и изменений, внесенных туда несвоевременно.
Подберем электронную подпись для вашего бизнеса за 5 минут!
Оставьте заявку и получите консультацию.
Название ЭЦП или «электронная цифровая подпись» — устаревшее, его употребление для официальной документации является ошибкой, правильным является выражение «электронная подпись» или ЭП. Основанием для этого выступил закон 63-ФЗ «Об электронной подписи» от 06.04.2011.
Этим нормативным актом предусмотрено наличие трех видов ЭП:
Согласно этому же закону, все ЭЦП, которые были выданы ранее 1 июля 2013 года, являются неквалифицированными.
Подпишись на наш канал в Яндекс Дзен - Онлайн-касса! Получай первым горячие новости и лайфхаки!
Как получить электронный ключ: способы создания и копирования
Как у предприятий, индивидуальных предпринимателей, так и у физических лиц, может возникнуть необходимость в получении электронного ключа. Для этих целей они могут воспользоваться любым из двух доступных способов. Если ключа еще нет, то необходимо его создать, а если ЭП уже есть, то ее можно без особых проблем скопировать на различные носители.
Как создать электронный ключ
Сейчас широко применяется технология создания электронной подписи методом ассиметричного шифрования с открытым ключом. Она имеет следующие особенности:
Шифруется не весь документ, а только хэш — небольшая часть, по которой его можно идентифицировать. ЭП и есть этот зашифрованный хэш.
С помощью общеизвестного и строго регламентированного механизма генерируется сразу два ключа — открытый и закрытый. Зн
online-kassa.ru
Что такое электронный ключ? | Справка | Вопрос-Ответ
У Facebook появилась новая функция, благодаря которой пользователи социальной сети могут входить в свой аккаунт с помощью электронного ключа.
Для того чтобы войти в свой аккаунт в социальной сети, пользователь должен вставить накопитель в USB-разъем, подтвердив таким образом, что он является владельцем аккаунта.
Что такое электронный ключ и как он выглядит?
Электронный ключ — это устройство, предназначенное для защиты программ и данных от несанкционированного использования и тиражирования. Его можно использовать в современных операционных системах, которые поддерживают стандарт USB.
Электронный ключ может быть представлен в виде устройства не больше спичечного коробка, которое подсоединяется к одному из портов компьютера. Ключ состоит из платы с микросхемами (вспомогательные элементы, микроконтроллер и память), заключенной в пластиковый корпус. Микроконтроллер содержит набор команд обмена информацией ключа и защищенной программы. Память электронного ключа содержит информацию о его характеристиках, а также данные пользователя. Ключ имеет два разъема. С помощью одного он подсоединяется к LPT-порту (параллельному порту) компьютера, другой служит для подключения периферийного устройства.
Ключ может быть электронным — в виде файла с особым разрешением или простого кода. Он может быть подключен при загрузке ссылки с сайта, либо с сервера цифрового дистрибьютора.
Зачем нужен электронный ключ?
Электронный ключ позволяет защитить от незаконного использования бухгалтерские и складские программы, правовые и корпоративные системы, строительные сметы, электронные справочники, свои данные и т. п. Защита состоит в том, что программа не работает и ее нельзя скопировать в отсутствие электронного ключа, к которому она привязана.
Принцип действия основывается на работе защищенной программы, которая при запуске проверяет наличие электронного ключа и, если он подсоединен, то программа начинает нормально работать. Если нет, то программа переключится в демонстрационный режим, блокируя при этом доступ к определённым функциям.
Что такое электронная подпись и где она применяется?
Электронная подпись — информация в электронной форме, которая используется для определения подписывающего информацию. В частности, электронная подпись используется в системах электронного документооборота разного назначения. Она может быть использована для подписания и направления в налоговые органы через «Личный кабинет» документов и финансовой отчетности. Кроме этого, электронная подпись позволяет установить авторство и подтвердить целостность любых данных в электронном виде.
Также электронная подпись широко используется для подписи программ, чтобы пользователь компьютера, загружая эти программы из интернета и используя их в работе, мог убедиться в надежности и корректности их работы и надежности источника получения этих программ.
Смотрите также:
aif.ru
Электронный ключ | Контроль Разума
Электронный ключ (также аппаратный ключ, иногда донгл от англ. dongle) — аппаратное средство, предназначенное для защиты программного обеспечения (ПО) и данных от копирования, нелегального использования и несанкционированного распространения.
Файл:180px usb dongle.jpg
Основой данной технологии является специализированная микросхема ASIC, либо специализированный защищённый микроконтроллер, имеющие уникальные для каждого ключа алгоритмы работы. Донглы также имеют защищённую энергонезависимую память небольшого объёма, более сложные устройства могут иметь встроенный криптопроцессор (для аппаратной реализации шифрующих алгоритмов), часы реального времени. Аппаратные ключи могут иметь различные форм-факторы, но чаще всего они подключаются к компьютеру через USB-, LPT- или PCMCIA-интерфейсы.
Принцип действия электронных ключей таков. Ключ присоединяется к определённому интерфейсу компьютера. Далее защищённая программа через специальный драйвер отправляет ему информацию, которая обрабатывается в соответствии с заданным алгоритмом и возвращается обратно. Если ответ ключа правильный, то программа продолжает свою работу. В противном случае она может выполнять любые действия, заданные разработчиками — например, переключаться в демонстрационный режим, блокируя доступ к определённым функциям.
Для обеспечения безопасности сетевого ПО служат специальные электронные ключи. Для защиты и лицензирования (ограничения числа работающих в сети копий программы) сетевого продукта достаточно одного ключа на всю локальную сеть. Ключ устанавливается на любой рабочей станции или сервере сети.
Многие компании, работающие в области защиты информации, предлагают свой взгляд на то, каким должен быть электронный ключ. На российском рынке наиболее известны следующие линейки продуктов (в алфавитном порядке): Guardant от компании «Актив», HASP от Aladdin, Rockey от Feitian, SenseLock от Seculab, Sentinel от SafeNet и др.
Защита ПО от нелицензионного пользования увеличивает прибыль разработчика. На сегодняшний день существует несколько подходов к решению этой проблемы. Подавляющее большинство создателей ПО используют различные программные модули, контролирующие доступ пользователей с помощью ключей активации, серийных номеров и т. д. Такая защита является дешёвым решением и не может претендовать на надёжность. Интернет изобилует программами, позволяющими нелегально сгенерировать ключ активации (генераторы ключей) или заблокировать запрос на серийный номер/ключ активации (патчи,
mind-control.fandom.com
Электронная подпись — Википедия
Электро́нная по́дпись (ЭП), Электро́нная цифровая по́дпись (ЭЦП), Цифровая подпись (ЦП) позволяет подтвердить авторство электронного документа (будь то реальное лицо или, например, аккаунт в криптовалютной системе). Подпись связана как с автором, так и с самим документом с помощью криптографических методов, и не может быть подделана с помощью обычного копирования.
ЭЦП — это реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).
Широко применяемая в настоящее время технология электронной подписи основана на асимметричном шифровании с открытым ключом и опирается на следующие принципы:
Можно сгенерировать пару очень больших чисел (открытый ключ и закрытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить закрытый ключ за разумный срок. Механизм генерации ключей строго определён и является общеизвестным. При этом каждому открытому ключу соответствует определённый закрытый ключ. Если, например, Иван Иванов публикует свой открытый ключ, то можно быть уверенным, что соответствующий закрытый ключ есть только у него.
Имеются надёжные методы шифрования, позволяющие зашифровать сообщение закрытым ключом так, чтобы расшифровать его можно было только открытым ключом[Прим. 1]. Механизм шифрования является общеизвестным.
Если электронный документ поддается расшифровке с помощью открытого ключа[Прим. 2], то можно быть уверенным, что он был зашифрован с помощью уникального закрытого ключа. Если документ расшифрован с помощью открытого ключа Ивана Иванова, то это подтверждает его авторство: зашифровать данный документ мог только Иванов, т.к. он является единственным обладателем закрытого ключа.
Однако шифровать весь документ было бы неудобно, поэтому шифруется только его хеш — небольшой объём данных, жёстко привязанный к документу с помощью математических преобразований и идентифицирующий его. Шифрованный хеш и является электронной подписью.
В 1976 году Уитфилдом Диффи и Мартином Хеллманом было впервые предложено понятие «электронная цифровая подпись», хотя они всего лишь предполагали, что схемы ЭЦП могут существовать.[1]
В 1977 году Рональд Ривест, Ади Шамир и Леонард Адлеман разработали криптографический алгоритм RSA, который без дополнительных модификаций можно использовать для создания примитивных цифровых подписей.[2]
Вскоре после RSA были разработаны другие ЭЦП, такие, как алгоритмы цифровой подписи Рабина, Меркле.
В 1984 году Шафи Гольдвассер, Сильвио Микали и Рональд Ривест первыми строго определили требования безопасности к алгоритмам цифровой подписи. Ими были описаны модели атак на алгоритмы ЭЦП, а также предложена схема GMR, отвечающая описанным требованиям (Криптосистема Гольдвассер — Микали).[3]
Россия[править | править код]
В 1994 году Главным управлением безопасности связи ФАПСИ был разработан первый российский стандарт ЭЦП — ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».
В 2002 году для обеспечения большей криптостойкости алгоритма взамен ГОСТ Р 34.10-94 был введён одноимённый стандарт ГОСТ Р 34.10-2001, основанный на вычислениях в группе точек эллиптической кривой. В соответствии с этим стандартом термины «электронная цифровая подпись» и «цифровая подпись» являются синонимами.
1 января 2013 года ГОСТ Р 34.10-2001 заменён на ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.»
Существует несколько схем построения цифровой подписи:
На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.[4]
На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭП наиболее распространены и находят широкое применение.
Кроме этого, существуют другие разновидности цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем.[4] Их появление обусловлено разнообразием задач, решаемых с помощью ЭП.
Использование хеш-функций[править | править код]
Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хеша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭП, поэтому в схеме может быть использована любая надёжная хеш-функция.
Использование хеш-функций даёт следующие преимущества:
Вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭП. Поэтому формировать хеш документа и подписывать его получается намного быстрее, чем подписывать сам документ.
Совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат.
Целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.
Использование хеш-функции не обязательно при электронной подписи, а сама функция не является частью алгоритма ЭП, поэтому хеш-функция может использоваться любая или не использоваться вообще.
В большинстве ранних систем ЭП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы для атак с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст.[5] Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.
Симметричная схема[править | править код]
Симметричные схемы ЭП менее распространены, чем асимметричные, так как после появления концепции цифровой подписи не удалось реализовать эффективные алгоритмы подписи, основанные на известных в то время симметричных шифрах. Первыми, кто обратил внимание на возможность симметричной схемы цифровой подписи, были основоположники самого понятия ЭП Диффи и Хеллман, которые опубликовали описание алгоритма подписи одного бита с помощью блочного шифра.[1] Асимметричные схемы цифровой подписи опираются на вычислительно сложные задачи, сложность которых ещё не доказана, поэтому невозможно определить, будут ли эти схемы сломаны в ближайшее время, как это произошло со схемой, основанной на задаче об укладке ранца. Также для увеличения криптостойкости нужно увеличивать длину ключей, что приводит к необходимости переписывать программы, реализующие асимметричные схемы, и в некоторых случаях перепроектировать аппаратуру.[4] Симметричные схемы основаны на хорошо изученных блочных шифрах.
В связи с этим симметричные схемы имеют следующие преимущества:
Стойкость симметричных схем ЭП вытекает из стойкости используемых блочных шифров, надежность которых также хорошо изучена.
Если стойкость шифра окажется недостаточной, его легко можно будет заменить на более стойкий с минимальными изменениями в реализации.
Однако у симметричных ЭП есть и ряд недостатков:
Нужно подписывать отдельно каждый бит передаваемой информации, что приводит к значительному увеличению подписи. Подпись может превосходить сообщение по размеру на два порядка.
Сгенерированные для подписи ключи могут быть использованы только один раз, так как после подписывания раскрывается половина секретного ключа.
Из-за рассмотренных недостатков симметричная схема ЭЦП Диффи-Хелмана не применяется, а используется её модификация, разработанная Березиным и Дорошкевичем, в которой подписывается сразу группа из нескольких бит. Это приводит к уменьшению размеров подписи, но к увеличению объёма вычислений. Для преодоления проблемы «одноразовости» ключей используется генерация отдельных ключей из главного ключа.[4]
Асимметричная схема[править | править код]
Схема, поясняющая алгоритмы подписи и проверки
Асимметричные схемы ЭП относятся к криптосистемам с открытым ключом.
Но в отличие от асимметричных алгоритмов шифрования, в которых шифрование производится с помощью открытого ключа, а расшифровка — с помощью закрытого (расшифровать может только знающий секрет адресат), в асимметричных схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка подписи — с применением открытого (расшифровать и проверить подпись может любой адресат).
Общепризнанная схема цифровой подписи охватывает три процесса[источник не указан 1247 дней]:
Генерация ключевой пары. При помощи алгоритма генерации ключа равновероятным образом из набора возможных закрытых ключей выбирается закрытый ключ, вычисляется соответствующий ему открытый ключ.
Формирование подписи. Для заданного электронного документа с помощью закрытого ключа вычисляется подпись.
Проверка (верификация) подписи. Для данных документа и подписи с помощью открытого ключа определяется действительность подписи.
Для того, чтобы использование цифровой подписи имело смысл, необходимо выполнение двух условий:
Верификация подписи должна производиться открытым ключом, соответствующим именно тому закрытому ключу, который использовался при подписании.
Без обладания закрытым ключом должно быть вычислительно сложно создать легитимную цифровую подпись.
Следует отличать электронную цифровую подпись от кода аутентичности сообщения (MAC).
Виды асимметричных алгоритмов[править | править код]
Как было сказано выше, чтобы применение ЭП имело смысл, необходимо, чтобы вычисление легитимной подписи без знания закрытого ключа было вычислительно сложным процессом.
Обеспечение этого во всех асимметричных алгоритмах цифровой подписи опирается на следующие вычислительные задачи:
Вычисления тоже могут производиться двумя способами: на базе математического аппарата эллиптических кривых (ГОСТ Р 34.10-2012, ECDSA) и на базе полей Галуа (ГОСТ Р 34.10-94, DSA)[6]. В настоящее время самые быстрые алгоритмы дискретного логарифмирования и факторизации являются субэкспоненциальными. Принадлежность самих задач к классу NP-полных не доказана.
Алгоритмы ЭП подразделяются на обычные цифровые подписи и на цифровые подписи с восстановлением документа[7]. При верификации цифровых подписей с восстановлением документа тело документа восстанавливается автоматически, его не нужно прикреплять к подписи. Обычные цифровые подписи требуют присоединение документа к подписи. Ясно, что все алгоритмы, подписывающие хеш документа, относятся к обычным ЭП. К ЭП с восстановлением документа относится, в частности, RSA.
Схемы электронной подписи могут быть одноразовыми и многоразовыми. В одноразовых схемах после проверки подлинности подписи необходимо провести замену ключей, в многоразовых схемах это делать не требуется.
Также алгоритмы ЭП делятся на детерминированные и вероятностные[7]. Детерминированные ЭП при одинаковых входных данных вычисляют одинаковую подпись. Реализация вероятностных алгоритмов более сложна, так как требует надежный источник энтропии, но при одинаковых входных данных подписи могут быть различны, что увеличивает криптостойкость. В настоящее время многие детерминированные схемы модифицированы в вероятностные.
В некоторых случаях, таких как потоковая передача данных, алгоритмы ЭП могут оказаться слишком медленными. В таких случаях применяется быстрая цифровая подпись. Ускорение подписи достигается алгоритмами с меньшим количеством модульных вычислений и переходом к принципиально другим методам расчёта.
Перечень алгоритмов ЭП[править | править код]
Асимметричные схемы:
На основе асимметричных схем созданы модификации цифровой подписи, отвечающие различным требованиям:
Групповая цифровая подпись
Неоспоримая цифровая подпись
«Слепая» цифровая подпись и справедливая «слепая» подпись
Конфиденциальная цифровая подпись
Цифровая подпись с доказуемостью подделки
Доверенная цифровая подпись
Разовая цифровая подпись
Анализ возможностей подделки подписей — задача криптоанализа. Попытку сфальсифицировать подпись или подписанный документ криптоаналитики называют «атака».
Модели атак и их возможные результаты[править | править код]
В своей работе Гольдвассер, Микали и Ривест описывают следующие модели атак, которые актуальны и в настоящее время[3]:
Атака с использованием открытого ключа. Криптоаналитик обладает только открытым ключом.
Атака на основе известных сообщений. Противник обладает допустимыми подписями набора электронных документов, известных ему, но не выбираемых им.
Адаптивная атака на основе выбранных сообщений. Криптоаналитик может получить подписи электронных документов, которые он выбирает сам.
Также в работе описана классификация возможных результатов атак:
Полный взлом цифровой подписи. Получение закрытого ключа, что означает полный взлом алгоритма.
Универсальная подделка цифровой подписи. Нахождение алгоритма, аналогичного алгоритму подписи, что позволяет подделывать подписи для любого электронного документа.
Выборочная подделка цифровой подписи. Возможность подделывать подписи для документов, выбранных криптоаналитиком.
Экзистенциальная подделка цифровой подписи. Возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.
Ясно, что самой «опасной» атакой является адаптивная атака на основе выбранных сообщений, и при анализе алгоритмов ЭП на криптостойкость нужно рассматривать именно её (если нет каких-либо особых условий).
При безошибочной реализации современных алгоритмов ЭП получение закрытого ключа алгоритма является практически невозможной задачей из-за вычислительной сложности задач, на которых ЭП построена. Гораздо более вероятен поиск криптоаналитиком коллизий первого и второго родов. Коллизия первого рода эквивалентна экзистенциальной подделке, а коллизия второго рода — выборочной. С учётом применения хеш-функций, нахождение коллизий для алгоритма подписи эквивалентно нахождению коллизий для самих хеш-функций.
Подделка документа (коллизия первого рода)[править | править код]
Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила. Однако в подавляющем большинстве случаев такой документ может быть только один. Причина в следующем:
документ представляет из себя осмысленный текст;
текст документа оформлен по установленной форме;
документы редко оформляют в виде txt-файла, чаще всего в формате DOC или HTML.
Если у фальшивого набора байт и произойдет коллизия с хешем исходного документа, то должны выполниться три следующих условия:
случайный набор байт должен подойти под сложно структурированный формат файла;
то, что текстовый редактор прочитает в случайном наборе байт, должно образовывать текст, оформленный по установленной форме;
текст должен быть осмысленным, грамотным и соответствующим теме документа.
Впрочем, во многих структурированных наборах данных можно вставить произвольные данные в некоторые служебные поля, не изменив вид документа для пользователя. Именно этим пользуются злоумышленники, подделывая документы. Некоторые форматы подписи даже защищают целостность текста, но не служебных полей.[9]
Вероятность подобного происшествия также ничтожно мала. Можно считать, что на практике такого случиться не может даже с ненадёжными хеш-функциями, так как документы обычно большого объёма — килобайты.
Получение двух документов с одинаковой подписью (коллизия второго рода)[править | править код]
Куда более вероятна атака второго рода. В этом случае злоумышленник фабрикует два документа с одинаковой подписью, и в нужный момент подменяет один другим. При использовании надёжной хеш-функции такая атака должна быть также вычислительно сложной. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хеширования, подписи, или ошибок в их реализациях. В частности, таким образом можно провести атаку на SSL-сертификаты и алгоритм хеширования MD5.[10]
Социальные атаки[править | править код]
Социальные атаки направлены не на взлом алгоритмов цифровой подписи, а на манипуляции с открытым и закрытым ключами[11].
Злоумышленник, укравший закрытый ключ, может подписать любой документ от имени владельца ключа.
Злоумышленник может обманом заставить владельца подписать какой-либо документ, например, используя протокол слепой подписи.
Злоумышленник может подменить открытый ключ владельца на свой собственный, выдавая себя за него.
Использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа позволяет снизить опасность социальных атак.
Управление открытыми ключами[править | править код]
Важной проблемой всей криптографии с открытым ключом, в том числе и систем ЭП, является управление открытыми ключами. Так как открытый ключ доступен любому пользователю, то необходим механизм проверки того, что этот ключ принадлежит именно своему владельцу. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, а также организовать отзы́в ключа в случае его компрометации.
Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями.
Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзы́в истекших и компрометированных сертификатов и ведёт базы (списки) выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны.
Хранение закрытого ключа[править | править код]
Смарт-карта и USB-брелоки
Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков, в частности, защищённость ключа полностью зависит от защищённости компьютера, и пользователь может подписывать документы только на этом компьютере.
В настоящее время существуют следующие устройства хранения закрытого ключа:
Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат должен/может быть немедленно отозван.
Наиболее защищённый способ хранения закрытого ключа — хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хеш передаётся в карту, её процессор осуществляет подписывание хеша и передаёт подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты немного сложнее, чем с других устройств хранения.
В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несёт сам.
Общее назначение[править | править код]
Использование ЭП предполагается для осуществления следующих важных направлений в электронной экономике:
Полный контроль целостности передаваемого электронного платежного документа: в случае любого случайного или преднамеренного изменения документа цифровая подпись станет недействительной, потому как вычисляется она по специальному алгоритму на основании исходного состояния документа и соответствует лишь ему.
Эффективная защита от изменений (подделки) документа. ЭП даёт гарантию, что при осуществлении контроля целостности будут выявлены всякого рода подделки. Как следствие, подделывание документов становится нецелесообразным в большинстве случаев.
Фиксирование невозможности отказа от авторства данного документа. Этот аспект вытекает из того, что вновь создать правильную электронную подпись можно лишь в случае обладания так называемым закрытым ключом, который, в свою очередь, должен быть известен только владельцу этого самого ключа (автору документа). В этом случае владелец не сможет сформировать отказ от своей подписи, а значит — от документа.
Формирование доказательств подтверждения авторства документа: исходя из того, что создать корректную электронную подпись можно, как указывалось выше, лишь зная Закрытый ключ, а он по определению должен быть известен только владельцу-автору документа, то владелец ключей может однозначно доказать своё авторство подписи под документом. Более того, в документе могут быть подписаны только отдельные поля документа, такие как «автор», «внесённые изменения», «метка времени» и т. д. То есть, может быть доказательно подтверждено авторство не на весь документ.
Перечисленные выше свойства электронной цифровой подписи позволяют использовать её в следующих основных целях электронной экономики и электронного документального и денежного обращения:
Использование в банковских платежных системах.
Электронная коммерция (торговля).
Электронная регистрация сделок по объектам недвижимости.
Таможенное декларирование товаров и услуг (таможенные декларации). Контролирующие функции исполнения государственного бюджета (если речь идет о стране) и исполнения сметных назначений и лимитов бюджетных обязательств (в данном случае если разговор идет об отрасли или о конкретном бюджетном учреждении). Управление государственными заказами.
В электронных системах обращения граждан к органам власти, в том числе и по экономическим вопросам (в рамках таких проектов как «электронное правительство» и «электронный гражданин»).
Формирование обязательной налоговой (фискальной), бюджетной, статистической и прочей отчетности перед государственными учреждениями и внебюджетными фондами.
Организация юридически легитимного внутрикорпоративного, внутриотраслевого или национального электронного документооборота.
Применение ЭЦП в различных расчетных и трейдинговых системах, а также Forex.
Управление акционерным капиталом и долевым участием.
ЭП является одним из ключевых компонентов сделок в криптовалютах.
В России[править | править код]
Согласно Гражданскому кодексу РФ, квалифицированная электронная подпись предназначена для определения лица, подписавшего электронный документ, и является аналогом собственноручной подписи в случаях, предусмотренных законом[12].
Квалифицированная электронная подпись применяется при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий[13].
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи».
После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 года № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.
В законе РФ от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.
Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур[14]. В силу требований Федерального закона от 5 апреля 2013 года № 44-ФЗ «О контрактной системе…» государственные контракты, заключаемые в электронном виде, должны быть подписаны усиленной электронной подписью[15].
С 13 июля 2012 согласно Федеральному закону № 108-ФЗ официально вступила в действие правовая норма, продлевающая действие 1-ФЗ «Об электронной цифровой подписи» до 1 июля 2013 года. В частности, решено в части 2 статьи 20 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036) слова «с 1 июля 2012 года» заменить словами «с 1 июля 2013 года».[16].
Однако Федеральным законом от 02.07.2013 № 171-ФЗ внесены изменения в статью 19 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи». В соответствии с этим электронный документ, подписанный электронной подписью, сертификат ключа проверки которой выдан в период действия федерального закона № 1-ФЗ, признаётся подписанным квалифицированной электронной подписью. При этом использовать старый сертификат можно до 31 декабря 2013 года включительно. Это значит, что в указанный период документы могут подписываться электронной цифровой подписью, сертификат ключа проверки которой выдан до 1 июля 2013 года.
С 1 июля 2013 года Федеральный закон от 10 января 2002 года № 1-ФЗ утратил силу, на смену ему пришёл Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи». В результате было введено определение трех видов электронных подписей:
Простойэлектронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.
Усиленной неквалифицированной электроннойподписью является электронная подпись, которая:
получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
позволяет определить лицо, подписавшее электронный документ;
позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
создается с использованием средств электронной подписи.
Усиленной квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
ключ проверки электронной подписи указан в квалифицированном сертификате;
для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ
С 1 января 2013 года гражданам выдаётся универсальная электронная карта, в которую встроена усиленная квалифицированная электронная подпись (выпуск карт прекращён с 1 января 2017 года[17]).
8 сентября 2015 года в Крымском федеральном округе (КФО) аккредитован первый удостоверяющий центр на базе Государственного унитарного предприятия «Крымтехнологии». Соответствующие полномочия утверждены приказом Министерства связи и массовых коммуникаций Российской Федерации № 298 «Об аккредитации удостоверяющих центров» от 11 августа 2015 года.[18]
ЭП применяется в системе контроля над объёмом производства и оборота этилового спирта, алкогольной продукции и пива ЕГАИС.
Манипуляции с электронными подписями в России[править | править код]
Известны незаконные действия с электронными подписями через центры сертификации РФ[19]. Коллегия Счетной палаты под председательством Татьяны Голиковой выявила участие некоторых УЦ в неправомерном применении электронной подписи застрахованного лица в интересах негосударственных пенсионных фондов, а также оформления документов без участия гражданина[20]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», — прокомментировал ситуацию президент НАПФ Сергей Беляков[21], его советник утверждает, что массовая фальсификация электронных подписей в повторных заявлениях производилась путём повторного использования удостоверяющим центром электронной подписи клиента[22], похожий способ используется при мошенничестве с недвижимостью[23].
Другой способ манипуляции с электронными подписями заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[24]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[25]. Однако, в 2017 году предложение Минкомсвязи передать функции выдачи усиленной квалифицированной электронной подписи (УКЭП) от частных компаний государству не нашло понимания других министерств и ведомств[26].
На Украине[править | править код]
На Украине использование ЭЦП регулируется законом, изданным в 2003 году. Он координирует отношения, появляющиеся вследствие применения ЭЦП. Система функционирования ЭЦП на Украине состоит из центрального удостоверяющего органа, выдающего разрешения центрам сертификации ключей (ЦСК) и обеспечивающего доступ к электронным каталогам, контролирующего органа и центров сертификации ключей, которые выдают ЭЦП конечному потребителю.
19 апреля 2007 года было принято Постановление «Об утверждении порядка представления отчетов в Пенсионный фонд Украины в электронной форме». А 10 апреля 2008 года — приказ № 233 ГНА Украины «О подаче электронной цифровой отчётности». В результате активной разъяснительной деятельности налоговых служб, в 2008 г. количество субъектов, подающих отчётность по НДС в электронном виде, возросло с 43 % до 71 %.
С 16 июля 2015 года начал действовать закон № 643-VIII «О внесении изменений в Налоговый кодекс Украины касательно усовершенствования администрирования налога на добавленную стоимость». 31 августа 2015 года зарегистрирован проект закона № 2544а «Об электронных доверительных услугах».
16 июня 2015 года на Украине заработал сайт электронных государственных услуг iGov.org.ua. Здесь можно заказать справку о несудимости для предъявления в МРЭО, оформить заявку на получение субсидии, справки о доходах, а также заполнить документы на загранпаспорт.
В Эстонии[править | править код]
Система электронных подписей широко используется в Эстонии, где введена программа ID-карт, которыми снабжены более 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные органы самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Всё это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии. Это, в свою очередь, нарушает анонимность покупки проездных билетов.
Комментарии
↑ Названия ключей открытый и закрытый - условные. Согласно алгоритму асимметричного шифровании с открытым ключом шифрующий ключ делается открытым, а дешифрующий - закрытым чтобы обеспечить расшифровку сообщения именно получателем. В случае ЭЦП задача обратная: предоставить легкий путь дешифрации - проверки подписи, значит дешифрующий ключ должен быть открытым.
↑ И при условии, что получается осмысленный результат, а не случайный набор данных.
Источники
ru.wikipedia.org
Что такое и как получить ключ электронной подписи?
Ключ электронной подписи — основной ее элемент. В чем заключается предназначение данного ключа и как его можно получить?
Что представляют собой ключи ЭЦП
Что такое открытый ключ
Закрытый ключ ЭЦП — это что за инструмент
Что представляет собой носитель ключа электронной подписи
Как получить ключ электронной подписи
Итоги
Что представляют собой ключи ЭЦП
Электронно-цифровая подпись — это информация в электронной форме (п. 1 ст. 2 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ), которая может дополнять тот или иной файл в целях удостоверения его авторства, а также подтверждения факта отсутствия изменений в данном файле после его подписания. Программная оболочка, посредством которой генерируется соответствующая информация, формирует электронный ключ.
При этом данный ключ классифицируется на 2 разновидности:
открытый;
закрытый.
Изучим их специфику.
Что такое открытый ключ
Под открытым ключом ЭЦП понимается уникальная последовательность символов (п. 5 ст. 2 закона № 63-ФЗ), которая доступна всем пользователям, желающим проверить подписанный с помощью ЭЦП документ на предмет авторства и целостности. Обычно открытый ключ находится в распоряжении получателя файлов, подписанных ЭЦП.
Закрытый ключ ЭЦП — это что за инструмент
Под закрытым ключом электронной подписи понимается, в свою очередь, последовательность символов, посредством которых осуществляется непосредственно подписание файла и удостоверение его авторства и целостности (п. 6 ст. 2 закона № 63-ФЗ). Доступ к закрытому ключу имеет только автор файла (или уполномоченное на работу с данным файлом лицо).
Открытые и закрытые ключи электронной подписи связаны между собой: проверить корректность ЭЦП, сформированной с помощью закрытого ключа, можно только с помощью соответствующего ему открытого ключа. То есть у них должен быть общий производитель (таковым может быть удостоверяющий центр).
Что представляет собой носитель ключа электронной подписи
Открытый и закрытый ключи создаются с помощью специальных криптографических приложений. Располагаются они на особом носителе — хорошо защищенном от несанкционированного копирования данных аппаратном модуле (например, устройстве типа eToken). Пользоваться им может только человек, имеющий правомочия в части подписания тех или иных файлов.
Как получить ключ электронной подписи
Криптографические приложения, с помощью которых осуществляется пользование ключами ЭЦП, выдаются специализированными удостоверяющими центрами. Многие из них аккредитованы Минкомсвязью и уполномочены к выдаче ключей для квалифицированной электронной подписи — соответствующей государственным стандартам в части обеспечения защиты информации.
ЭЦП, выданные неаккредитованными УЦ, могут быть использованы в частных правоотношениях — например, при организации обмена документами внутри предприятия или между фирмами.
Итоги
ЭЦП формируется с помощью закрытого ключа, проверяется на достоверность — с помощью открытого. Получение ключа электронной подписи возможно посредством обращения в специализированный удостоверяющий центр.
Узнать больше о применении ЭЦП вы можете в статьях:
Если у вас остались нерешенные вопросы, ответы на них вы можете найти в КонсультантПлюс. Полный и бесплатный доступ к системе на 2 дня.
nalog-nalog.ru
Открытый и закрытый ключ электронной подписи
Сущность технологии ЭЦП
Асимметричное шифрование данных предусматривает применение закрытого и открытого ключей одновременно. Сама технология реализована на базе связки компонентов ЭЦП. Ключи связаны за счет математического соотношения. Подобная технология обеспечивает безопасность шифрования данных. Даже в случае перехвата информации ее становится практически невозможно расшифровать. Электронная подпись исключает возможность перенаправления на сторонний веб-ресурс.
Что такое открытый ключ
Открытый ключ ЭЦП доступен для всех пользователей информационной системы. По своей сути это цифровой код. С его помощью осуществляется идентификация владельца и удостоверяется факт отсутствия изменений в документе после подписания. В состав сертификата входят данные:
уникальный номер, присваиваемый в ходе регистрации;
личные сведения о держателе, включая реквизиты эмитента — удостоверяющего центра и Ф. И. О. владельца
срок действия выданного сертификата
Проверить соответствие ЭЦП сертификату предлагается с помощью реестра Единого удостоверяющего центра. В библиотеке хранится информация обо всех выданных криптосистемах, что позволяет легко проверить достоверность ЭЦП по ее общедоступному компоненту. Подобная технология обеспечивает надлежащий уровень защищенности электронного документооборота. Гарантируется безопасность компонента криптосистемы от создания подделок, а проводимой сделки — от злоумышленников.
Доступ к открытому элементу цифровой подписи публичный — воспользоваться им может кто угодно. Выдача этой части ключевой пары ЭЦП осуществляется уполномоченным государственным органом — удостоверяющим центром. В его функции входит формирование секретного компонента криптосистемы и собственного сертификата, сертификата конечного пользователя, заверение их аутентичности. Для учета выданных сертификатов УЦ ведет специальный реестр. Спектр выполняемых органом задач охватывает также отзыв истекших либо скомпрометированных сертификатов с последующим обновлением существующей базы.
Понятие закрытого ключа
Для дешифровки хранящихся в ЭЦП данных понадобится вторая составляющая в виде закрытого компонента сертификата.
Закрытый ключ ЭЦП именуется также секретным. Этот компонент криптосистемы считается более уязвимым и подверженным взлому. Его получение злоумышленником позволяет создать действительную электронную подпись от имени автора. Поэтому особую важность приобретает хранение криптографической составляющей в надежном месте. Персональный компьютер не может обеспечить надлежащую защиту ключевой пары. Закрытый ключ ЭЦП — это уникальное сочетание символов, для хранения которых используется цифровой носитель. Им могут служить:
смарт-карта
токен
USB-носитель
дискета
Похищение либо потеря устройства хранения данных может быть сразу обнаружена пользователем — можно успеть своевременно отозвать сертификат. Самым безопасным вариантом из всех представленных считается смарт-карта. Ее использование предполагает двухфакторную аутентификацию — введение PIN-кода. Скопировать информацию со смарт-карты представляется довольно сложной задачей. Однако токены более универсальны в связи с возможностью их использования на любом устройстве, оснащенном USB-портом.
Хранение закрытого ключа осуществляется только у владельца электронной цифровой подписи.
Дубликаты этого компонента криптосистемы отсутствуют. Хранение составляющей ключевой пары с истекшим сроком действия целесообразно с целью возможности в дальнейшем расшифровать документы из давнего электронного архива.
Электронный компонент ключевой пары является конфиденциальным. Ответственность за его сохранность в полной мере возлагается на владельца ЭЦП, что прописано на законодательном уровне.
Зачем нужны открытый и закрытый ключ ЭЦП
Открытый и закрытый ключ электронной подписи решают разные задачи. Открытый ключ ЭЦП предназначен для зашифровки информации, в то время как закрытый призван обеспечить ее расшифровку. При этом первый элемент можно без опасений передавать, не рискуя при этом сохранностью данных. Работа ключевой пары осуществляется только при взаимодействии двух составляющих. Надежная криптосистема успешно используется для заверения электронных документов. Удобный инструмент обеспечивает надлежащую конфиденциальность данных и защиту от фальсификации.
astral.ru
Как получить электронную подпись для физических и юридических лиц
На портале mos.ru
Физические лица для получения электронных госуслуг на официальном сайте Мэра Москвы пользуются простой электронной подписью (то есть им достаточно зарегистрироваться на mos.ru). Юридические лица и индивидуальные предприниматели также пользуются простой электронной подписью, но им необходимо подтвердить свою личность в центре госуслуг «Мои документы» для того, чтобы приравнять ее к собственноручной.
На портале gosuslugi.ru
На портале gosuslugi.ru есть несколько уровней учетной записи. Пользуясь упрощенным и стандартным уровнями, вы подписываете заявления простой электронной подписью. Но чтобы получить доступ ко всем услугам, вам нужен подтвержденный аккаунт — для этого нужно подтвердить личность, то есть приравнять простую электронную подпись к собственноручной.
На сайте Федеральной налоговой службы
Физические лица, получая услуги через личный кабинет на сайте Федеральной налоговой службы, пользуются усиленной неквалифицированной подписью, приравненной к собственноручной. Сертификат ключа проверки можно получить в самом личном кабинете, а вот идентификация личности и приравнивание электронной подписи к собственноручной происходят на уровне входа в личный кабинет: войти можно либо по логину и паролю, которые выдают при личном визите в налоговую инспекцию, либо с помощью подтвержденной учетной записи на портале gosuslugi.ru, либо и вовсе по усиленной квалифицированной электронной подписи.
А вот индивидуальным предпринимателям и юридическим лицам для получения услуг (например, для регистрации онлайн-кассы) может понадобиться усиленная квалифицированная подпись.
На сайте Росреестра
Часть услуг Росреестра (например, подать заявление, записаться на прием) можно получить, используя простую электронную подпись. Но большинство услуг предоставляется тем, у кого есть усиленная квалифицированная электронная подпись.
Для участия в электронных торгах
Для того чтобы участвовать в электронных торгах, нужна усиленная квалифицированная электронная подпись.
www.mos.ru
Сертификат открытого ключа — Википедия
Сертификат открытого ключа (сертификат ЭП, сертификат ключа подписи, сертификат ключа проверки электронной подписи (согласно ст. 2 Федерального Закона от 06.04.2011 «Об электронной подписи» № 63-ФЗ)) — электронный или бумажный документ, содержащий открытый ключ, информацию о владельце ключа, области применения ключа, подписанный выдавшим его Удостоверяющим центром и подтверждающий принадлежность открытого ключа владельцу.
Открытый ключ может быть использован для организации защищённого канала связи с владельцем двумя способами:
Существует две модели организации инфраструктуры сертификатов: централизованная (PKI) и децентрализованная (реализуемая на основе т. н. сетей доверия), получившая наибольшее распространение в сетях PGP.
Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете
Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его открытым ключом.
Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.
Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:
сам открытый ключ владельца сертификата,
срок действия,
имя эмитента (центра сертификации),
имя владельца сертификата
и, самой важной части, цифровой подписи.
Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши. Если хеши совпадают — значит сертификат действительный и можно не сомневаться, что открытый ключ принадлежит именно тому с кем мы собираемся устанавливать соединение.
Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.
В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.[1]
Пусть имеются две стороны информационного обмена — A{\displaystyle A}, B{\displaystyle B}, желающие обмениваться сообщениями конфиденциально, и третья сторона T{\displaystyle T} (играющая роль удостоверяющего центра), которой доверяют A{\displaystyle A} и B{\displaystyle B}.
Стороне A{\displaystyle A} принадлежит пара ключей (KAo{\displaystyle KA_{o}}, KAs{\displaystyle KA_{s}}), где KAo{\displaystyle KA_{o}} — открытый ключ, а KAs{\displaystyle KA_{s}} — закрытый (секретный) ключ стороны A{\displaystyle A}.
Стороне T{\displaystyle T} принадлежит пара ключей (KTo{\displaystyle KT_{o}}, KTs{\displaystyle KT_{s}}).
A{\displaystyle A} регистрируется у T{\displaystyle T} (посылает запрос на подпись), указывая данные о себе и свой KAo{\displaystyle KA_{o}}. Сторона T{\displaystyle T} посредством определенных механизмов "удостоверяет личность" стороны A{\displaystyle A} и выдает стороне A{\displaystyle A} сертификат C{\displaystyle C}, устанавливающий соответствие между субъектом A{\displaystyle A} и ключом KAo{\displaystyle KA_{o}}. Сертификат C{\displaystyle C} содержит:
ключ KAo{\displaystyle KA_{o}},
идентификационные данные субъекта A{\displaystyle A},
идентификационные данные удостоверяющей стороны T{\displaystyle T},
подпись стороны T{\displaystyle T}, которую обозначим ST{\displaystyle ST}. Подпись ST{\displaystyle ST} — это хеш (набор символов, хеш-сумма/хеш-код), полученный в результате применения хеш-функции к данным сертификата C{\displaystyle C}, зашифрованный стороной T{\displaystyle T} с использованием своего закрытого ключа KTs{\displaystyle KT_{s}}.
и другую информацию.
A{\displaystyle A} посылает стороне B{\displaystyle B} свой сертификат C{\displaystyle C}. B{\displaystyle B} проверяет цифровую подпись ST{\displaystyle ST}. Для этого B{\displaystyle B}
самостоятельно вычисляет хеш от данных сертификата C{\displaystyle C},
расшифровывает ЭЦП сертификата ST{\displaystyle ST} с помощью всем известного KTo{\displaystyle KT_{o}}, получив другой хеш,
проверяет равенство этих двух хешей.
Если полученные хеши равны - ЭЦП корректна, а это подтверждает, что KAo{\displaystyle KA_{o}} действительно принадлежит A{\displaystyle A}.
Теперь B{\displaystyle B}, зная открытый ключ A{\displaystyle A} и зная, что он принадлежит именно A{\displaystyle A}, может шифровать этим открытым ключом все последующие сообщения для A{\displaystyle A}. И только A{\displaystyle A} сможет их расшифровать, так как KAs{\displaystyle KA_{s}} известен только A{\displaystyle A}.
Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:
Украина
Россия
уникальный регистрационный номер сертификата
+
+
дата и время начала и окончания срока действия сертификата
+
+
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца
+
+
открытый ключ
+
+
наименование и реквизиты ЦС
+
+
наименование криптографического алгоритма
+
+
информацию об ограничении использования подписи
+
+
указание на страну выпуска сертификата
+
-
Кроме этого в сертификат могут вноситься дополнительные поля.
Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.
В России действуют свои криптографические стандарты. Использование их совместно с сертификатами описано в RFC4491: Using GOST with PKIX.
ru.wikipedia.org
схема, принцип работы и особенности :: SYL.ru
Микроконтроллерами можно производить управление мощными устройствами – лампами накаливания, нагревательными ТЭНами, даже электроприводами. Для этого используются транзисторные ключи – устройства для коммутации цепи. Это универсальные приборы, которые можно применить буквально в любой сфере деятельности – как в быту, так и в автомобильной технике.
Что такое электронный ключ?
Ключ – это, если упростить, обыкновенный выключатель. С его помощью замыкается и размыкается электрическая цепь. У биполярного транзистора имеется три вывода:
Коллектор.
Эмиттер.
База.
На биполярных полупроводниках строятся электронные ключи – конструкция простая, не требует наличия большого количества элементов. При помощи переключателя осуществляется замыкание и размыкание участка цепи. Происходит это с помощью сигнала управления (который вырабатывает микроконтроллер), подаваемого на базу транзистора.
Коммутация нагрузки
Простыми схемами на транзисторных ключах можно производить коммутацию токов в интервале 0,15... 14 А, напряжений 50... 500 В. Все зависит от конкретного типа транзистора. Ключ может производить коммутацию нагрузки 5-7 кВт при помощи управляющего сигнала, мощность которого не превышает сотни милливатт.
Можно применять вместо транзисторных ключей простые электромагнитные реле. У них имеется достоинство – при работе не происходит нагрев. Но вот частота циклов включения и отключения ограничена, поэтому использовать в инверторах или импульсных блоках питания для создания синусоиды их нельзя. Но в общем принцип действия ключа на полупроводниковом транзисторе и электромагнитного реле одинаков.
Электромагнитное реле
Реле – это электромагнит, которым производится управление группой контактов. Можно провести аналогию с обычным кнопочным выключателем. Только в случае с реле усилие берется не от руки, а от магнитного поля, которое находится вокруг катушки возбуждения. Контактами можно коммутировать очень большую нагрузку – все зависит от типа электромагнитного реле. Очень большое распространение эти устройства получили в автомобильной технике – с их помощью производится включение всех мощных потребителей электроэнергии.
Это позволяет разделить все электрооборудование автомобиля на силовую часть и управляющую. Ток потребления у обмотки возбуждения реле очень маленький. А силовые контакты имеют напыление из драгоценных или полудрагоценных металлов, что исключает вероятность появления дуги. Схемы транзисторных ключей на 12 вольт можно применять вместо реле. При этом улучшается функциональность устройства – включение бесшумное, контакты не щелкают.
Выводы электромагнитного реле
Обычно в электромагнитных реле имеется 5 выводов:
Два контакта, предназначенных для управления. К ним подключается обмотка возбуждения.
Три контакта, предназначенных для коммутации. Один общий контакт, который нормально замкнут и нормально разомкнут с остальными.
В зависимости от того, какая схема коммутации применяется, используются группы контактов. Полевой транзисторный ключ имеет 3-4 контакта, но функционирование происходит таким же примерно образом.
Как работает электромагнитное реле
Принцип работы электромагнитного реле довольно простой:
Обмотка через кнопку соединяется с питанием.
В разрыв цепи питания потребителя включаются силовые контакты реле.
При нажатии на кнопку подается питание на обмотку, происходит притягивание пластины и замыкание группы контактов.
Подается ток на потребителя.
Примерно по такой же схеме транзисторные ключи работают – нет только группы контактов. Их функции выполняет кристалл полупроводника.
Проводимость транзисторов
Один из режимов работы транзистора – ключевой. По сути, он выполняет функции выключателя. Затрагивать схемы усилительных каскадов нет смысла, они не относятся к этому режиму работы. Полупроводниковые триоды применяются во всех типах устройств – в автомобильной технике, в быту, в промышленности. Все биполярные транзисторы могут иметь такой тип проводимости:
P-N-P.
N-P-N.
К первому типу относятся полупроводники, изготовленные на основе германия. Эти элементы получили широкое распространение более полувека назад. Чуть позже в качестве активного элемента начали использовать кремний, у которого проводимость обратная – n-p-n.
Принцип работы у приборов одинаков, отличаются они только лишь полярностью питающего напряжения, а также отдельными параметрами. Популярность у кремниевых полупроводников на данный момент выше, они почти полностью вытеснили германиевые. И большая часть устройств, включая транзисторные ключи, изготавливаются на биполярных кремниевых элементах с проводимостью n-p-n.
Транзистор в режиме ключа
Транзистор в режиме ключа выполняет те же функции, что и электромагнитное реле или выключатель. Ток управления протекает следующим образом:
От микроконтроллера через переход "база - эмиттер".
При этом канал "коллектор - эмиттер" открывается.
Через канал "коллектор - эмиттер" можно пропустить ток, величина которого в сотни раз больше, нежели базового.
Особенность транзисторных переключателей в том, что частота коммутации намного выше, нежели у реле. Кристалл полупроводника способен за одну секунду совершить тысячи переходов из открытого состояния в закрытое и обратно. Так, скорость переключения у самых простых биполярных транзисторов - около 1 млн раз в секунду. По этой причине транзисторы используют в инверторах для создания синусоиды.
Принцип работы транзистора
Элемент работает точно так же, как и в режиме усилителя мощности. По сути, к входу подается небольшой ток управления, который усиливается в несколько сотен раз за счет того, что изменяется сопротивление между эмиттером и коллектором. Причем это сопротивление зависит от величины тока, протекающего между эмиттером и базой.
В зависимости от типа транзистора меняется цоколевка. Поэтому, если вам нужно определить выводы элемента, нужно обратиться к справочнику или даташиту. Если нет возможности обратиться к литературе, можно воспользоваться справочниками для определения выводов. Еще есть особенность у транзисторов – они могут не полностью открываться. Реле, например, могут находиться в двух состояниях – замкнутом и разомкнутом. А вот у транзистора сопротивление канала "эмиттер - коллектор" может меняться в больших пределах.
Пример работы транзистора в режиме ключа
Коэффициент усиления – это одна из основных характеристик транзистора. Именно этот параметр показывает, во сколько раз ток, протекающий по каналу "эмиттер - коллектор", выше базового. Допустим, коэффициент равен 100 (обозначается этот параметр h21Э). Значит, если в цепь управления подается ток 1 мА (ток базы), то на переходе "коллектор - эмиттер" он будет 100 мА. Следовательно, произошло усиление входящего тока (сигнала).
При работе транзистор нагревается, поэтому он нуждается в пассивном или активном охлаждении – радиаторах и кулерах. Но нагрев происходит только в том случае, когда проход "коллектор - эмиттер" открывается не полностью. В этом случае большая мощность рассеивается – ее нужно куда-то девать, приходится «жертвовать» КПД и выпускать ее в виде тепла. Нагрев будет минимальным только в тех случаях, когда транзистор закрыт или открыт полностью.
Режим насыщения
У всех транзисторов имеется определенный порог входного значения тока. Как только произойдет достижение этого значения, коэффициент усиления перестает играть большую роль. При этом выходной ток не изменяется вообще. Напряжение на контактах "база - эмиттер" может быть выше, нежели между коллектором и эмиттером. Это состояние насыщения, транзистор открывается полностью. Режим ключа говорит о том, что транзистор работает в двух режимах – либо он полностью открыт, либо же закрыт. Когда полностью перекрывается подача тока управления, транзистор закрывается и перестает пропускать ток.
Практические конструкции
Практических схем использования транзисторов в режиме ключа очень много. Нередко их используют для включения и отключения светодиодов с целью создания спецэффектов. Принцип работы транзисторных ключей позволяет не только делать «игрушки», но и реализовывать сложные схемы управления. Но обязательно в конструкциях необходимо использовать резисторы для ограничения тока (они устанавливаются между источником управляющего сигнала и базой транзистора). А вот источником сигнала может быть что угодно – датчик, кнопочный выключатель, микроконтроллер и т. д.
Работа с микроконтроллерами
При расчете транзисторного ключа нужно учитывать все особенности работы элемента. Для того чтобы работала система управления на микроконтроллере, используются усилительные каскады на транзисторах. Проблема в том, что выходной сигнал у контроллера очень слабый, его не хватит для того, чтобы включить питание на обмотку электромагнитного реле (или же открыть переход очень мощного силового ключа). Лучше применить биполярный транзисторный ключ, которым произвести управление MOSFET-элементом.
Применяются несложные конструкции, состоящие из таких элементов:
Биполярный транзистор.
Резистор для ограничения входного тока.
Полупроводниковый диод.
Электромагнитное реле.
Источник питания 12 вольт.
Диод устанавливается параллельно обмотке реле, он необходим для того, чтобы предотвратить пробой транзистора импульсом с высоким ЭДС, который появляется в момент отключения обмотки.
Сигнал управления вырабатывается микроконтроллером, поступает на базу транзистора и усиливается. При этом происходит подача питания на обмотку электромагнитного реле – канал "коллектор - эмиттер" открывается. При замыкании силовых контактов происходит включение нагрузки. Управление транзисторным ключом происходит в полностью автоматическом режиме – участие человека практически не требуется. Главное – правильно запрограммировать микроконтроллер и подключить к нему датчики, кнопки, исполнительные устройства.
Использование транзисторов в конструкциях
Нужно изучать все требования к полупроводникам, которые собираетесь использовать в конструкции. Если планируете проводить управление обмоткой электромагнитного реле, то нужно обращать внимание на его мощность. Если она высокая, то использовать миниатюрные транзисторы типа КТ315 вряд ли получится: они не смогут обеспечить ток, необходимый для питания обмотки. Поэтому рекомендуется в силовой технике применять мощные полевые транзисторы или сборки. Ток на входе у них очень маленький, зато коэффициент усиления большой.
Не стоит применять для коммутации слабых нагрузок мощные реле: это неразумно. Обязательно используйте качественные источники питания, старайтесь напряжение выбирать таким, чтобы реле работало в нормальном режиме. Если напряжение окажется слишком низким, то контакты не притянутся и не произойдет включение: величина магнитного поля окажется маленькой. Но если применить источник с большим напряжением, обмотка начнет греться, а может и вовсе выйти из строя.
Обязательно используйте в качестве буферов транзисторы малой и средней мощности при работе с микроконтроллерами, если необходимо включать мощные нагрузки. В качестве силовых устройств лучше применять MOSFET-элементы. Схема подключения к микроконтроллеру такая же, как и у биполярного элемента, но имеются небольшие отличия. Работа транзисторного ключа с использованием MOSFET-транзисторов происходит так же, как и на биполярных: сопротивление перехода может изменяться плавно, переводя элемент из открытого состояния в закрытое и обратно.
www.syl.ru
Электронная подпись - где и как получить и поставить ЭЦП? — СКБ Контур
Чтобы поставить электронную подпись (ЭП), нужно владеть ключом ЭП. Ключ ЭП называется закрытым ключом, а ключ проверки ЭП — открытым. Для создания ЭП используется специальный инструмент — средство ЭП.
Виды электронной подписи
Различают два вида ЭП:
Простая электронная подпись (позволяет лишь установить авторство документа, требует наличия ключа ЭП).
Усиленная электронная подпись (формируется с помощью специальных криптографических алгоритмов). Может быть неквалифицированной и квалифицированной.
Простая ЭП используется в случаях, когда на аналогичном бумажном документе не требуется наличие печати. Такая подпись может только подтвердить личность подписанта.
Для усиленной неквалифицированной ЭП характерен ряд принципиальных качеств:
1) получается в результате криптографического преобразования информации с использованием ключа ЭП;
2) благодаря средству ЭП и ключу проверки помогает определить авторство электронного документа и установить изменения в документе после его подписания;
3) создается с использованием средств ЭП.
Если к этим качествам добавить еще два, то получится усиленная квалифицированная ЭП. При этом будет ошибкой считать, что усиленная квалифицированная ЭП является в то же время усиленной неквалифицированной ЭП.
О каких двух дополнительных признаках идет речь?
1) ключ проверки ЭП должен содержаться в квалифицированном сертификате ключа проверки ЭП;
2) средство ЭП, которое используется для создания и проверки, должно получить подтверждение соответствия требованиям, предусмотренным законом и ФСБ для средств ЭП.
Усиленная квалифицированная ЭП предоставляет ее владельцу максимум возможностей с правовой точки зрения. В то же время к ней предъявляются высокие требования.
Сертификат ключа проверки электронной подписи
В Федеральном законе от 06.04.2011 № 63-ФЗ говорится о том, что для подтверждения принадлежности ключа проверки ЭП автору документа сертификат может не использоваться. Сейчас он требуется только для квалифицированной ЭП.
Квалифицированный сертификат включает следующую информацию:
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) для физлица: ФИО и СНИЛС владельца сертификата;
для юрлица: наименование, место нахождения, ИНН и ОГРН владельца сертификата;
3) ключ проверки ЭП;
4) наименования средств ЭП и средств удостоверяющего центра (УЦ), с помощью которых созданы ключ ЭП, ключ проверки ЭП УЦ, квалифицированный сертификат;
6) наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат, номер квалифицированного сертификата УЦ;
7) ограничения использования квалифицированного сертификата.
Нужна электронная подпись? Подберите сертификат под вашу задачу
Требования к форме квалифицированного сертификата установлены Приказом ФСБ РФ от 27.12.2011 № 795. Для ограничения использования сертификата есть, например, дополнение keyUsage, содержащее серию флагов, с помощью которых устанавливается, где ключ проверки электронной подписи не может применяться. Флаг keyCertSign в дополнении keyUsage означает, что область использования ключа включает проверку подписей под квалифицированными сертификатами. Этот флаг не поднимается в квалифицированных сертификатах клиентов УЦ. А вот в квалифицированном сертификате, который выдан УЦ Минкомсвязи, этот флаг поднимается, что позволяет УЦ создавать свою квалифицированную ЭП в сертификатах своих клиентов.
Аккредитованный удостоверяющий центр
Как уже было сказано выше, сертификат ключа проверки ЭП выдает УЦ в электронном или бумажном виде. УЦ, подтвердивший соответствие требованиям закона в Минкомсвязи, становится аккредитованным УЦ и получает право выдавать квалифицированные сертификаты (список аккредитованных УЦ).
При выдаче квалифицированного сертификата аккредитованный УЦ должен не только установить личность обратившегося лица, но и внести в специальную базу данных (реестр сертификатов) серию, номер и дату выдачи документа, использовавшегося для установления личности.
Аккредитованный УЦ должен регулярно публиковать специальную выписку из реестра сертификатов (список отозванных сертификатов), содержащую номера квалифицированных сертификатов, которые прекратили действие по решению суда или по обращению владельца сертификата.
Подробно об обязанностях и функционале аккредитованного УЦ написано в ст. 15 Федерального закона от 06.04.2011 № 63-ФЗ.
Чтобы получить электронную подпись, для начала нужно определить, какой сертификат ЭП вам нужен для работы, с какой целью вы будете его использовать. Если вы планируете получить сертификат в Удостоверяющем центре СКБ Контур, то воспользуйтесь мастером подбора сертификата и заполните заявку на сайте.
Подготовить необходимые документы перед визитом в центр выдачи можно с помощью мастера подбора документов.
Для получения сертификата придется лично прийти в центр выдачи с оригиналами документов или их заверенными копиями, оплаченным счетом или копией платежного поручения, заверенной банком.
Как подписать документ электронной подписью
Допустим, вы получили квалифицированный сертификат электронной подписи и хотите начать им пользоваться. Что для этого нужно?
Прежде чем подписать документ ЭП, убедитесь в его окончательной версии. После того, как будет создана ЭП, внести в него изменения не получится.
Позаботьтесь о наличии средств ЭП (в УЦ СКБ Контур настройка компьютера для работы с ЭП проходит автоматически) и программ для создания ЭП.
Для подписания ЭП документов формата Word и Excel есть несколько возможностей. Первая предполагает установку и использование платного программного модуля КриптоПро Office Signature (бесплатно он доступен только в рамках тестового периода). Однако у этого варианта есть несколько особенностей. Во-первых, алгоритм подписания в разных версиях Word отличается. Во-вторых, если создать подпись в одной версии программы, а проверять в другой, то результат может оказаться некорректным.
Модуль КриптоПро PDF используется для создания и проверки ЭП в Adobe Acrobat, Adobe Reader и Adobe LiveCycle ES.
Установка специальной программы (например, КриптоАРМ) позволит подписывать документы любого формата: rar,.jpeg,.png,.ppt, видео, базы данных и т.д. Но бесплатно доступна только базовая версия КриптоАРМ Старт, в которой заложен минимум возможностей. Остальные версии — платные, и цена зависит от функциональности.
Наконец, с помощью бесплатного веб-сервиса Контур.Крипто можно подписать документ любого формата без необходимости установки специальных программ. Сервис работает с подписью, выпущенной любым УЦ. С помощью Контур.Крипто вы можете создать и проверить ЭП, зашифровать и расшифровать электронный файл, а также подписать пакет файлов или архивов, создать подпись документа двумя и более лицами. При этом в сервисе есть ограничение на вес документа — до 100 Мб, и он работает только в Microsoft Windows. Кроме того, сервис позволяет создать только отсоединенную подпись. Проверить подпись, созданную в Контур.Крипто, можно в любой программе, которая работает с отсоединенными ЭП.
kontur.ru
Инфраструктура открытых ключей — Википедия
У этого термина существуют и другие значения, см. PKI. Инфраструктура открытых ключей
Инфраструктура открытых ключей (ИОК, англ. PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. В основе PKI лежит использование криптографической системы с открытым ключом и несколько основных принципов:
закрытый ключ (private key) известен только его владельцу;
удостоверяющий центр создает электронный документ — сертификат открытого ключа, таким образом удостоверяя факт того, что закрытый (секретный) ключ известен эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно передается в сертификате;
никто не доверяет друг другу, но все доверяют удостоверяющему центру;
удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа заданному лицу, которое владеет соответствующим закрытым ключом.
Начало асимметричным шифрам было положено в работе «Новые направления в современной криптографии» Уитфилда Диффи и Мартина Хеллмана, опубликованной в 1976 году. Находясь под влиянием работы Ральфа Меркле (англ. Ralph Merkle) о распространении открытого ключа, они предложили метод получения секретных ключей, используя открытый канал. Этот метод экспоненциального обмена ключей, который стал известен как обмен ключами Диффи — Хеллмана, был первым опубликованным практичным методом для установления разделения секретного ключа между заверенными пользователями канала. В 2002 году Хеллман предложил называть данный алгоритм «Диффи — Хеллмана — Меркле», признавая вклад Меркле в изобретение криптографии с открытым ключом. Эта же схема была разработана Малькольмом Вильямсоном в 1970-х, но держалась в секрете до 1997 г. Метод Меркле по распространению открытого ключа был изобретён в 1974 и опубликован в 1978 году, его также называют загадкой Меркле.
В 1977 году учёными Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом из Массачусетского технологического института был разработан алгоритм шифрования, основанный на проблеме о разложении на множители. Система была названа по первым буквам их фамилий (RSA — Rivest, Shamir, Adleman). Эта же система была изобретена в 1973 году Клиффордом Коксом (англ. Clifford Cocks), работавшим в центре правительственной связи (GCHQ), но эта работа хранилась лишь во внутренних документах центра, поэтому о её существовании было неизвестно до 1977 года. RSA стал первым алгоритмом, пригодным и для шифрования, и для электронной подписи.
Основные компоненты PKI:
Удостоверяющий центр он же и центр сертификации (УЦ или CA - Certificate Authority) является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. УЦ является главным компонентом PKI:
он является доверенной третьей стороной[en]
это сервер, который осуществляет управление жизненным циклом сертификатов (но не их непосредственным использованием).
Сертификат открытого ключа (чаще всего просто сертификат) — это данные пользователя/сервера и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет закрытым ключом, который соответствует этому открытому ключу.
Регистрационный центр (РЦ) — необязательный компонент системы, предназначенный для регистрации пользователей. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.
Репозиторий — хранилище, содержащее сертификаты и списки отозванных сертификатов (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.
Архив сертификатов — хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
Центр запросов — необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
Конечные пользователи — пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:
обеспечение конфиденциальности информации;
обеспечение целостности информации;
обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость/неотрекаемость — англ. non-repudiation).
Упрощенно, PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой используя сертификаты, выданные этим удостоверяющим центром. Деятельность инфраструктуры управления открытыми ключами осуществляется на основе регламента системы. Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации, конечных пользователей и опциональных компонентов: центра регистрации и сетевого справочника.
Основные функции удостоверяющего центра:
проверка личности будущих пользователей сертификатов;
выдача пользователям сертификатов;
аннулирование сертификатов;
ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.
Дополнительные функции удостоверяющего центра:
УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат.
По запросу, при разрешении конфликтов, УЦ может производить проверку подлинности электронной подписи владельца сертификата, выданного этим УЦ.
Сертификат — это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись центра выдачи сертификатов (УЦ), информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.
Причины досрочного аннулирования сертификатов:
компрометация закрытого ключа;
изменение информации о владельце сертификата, содержащейся в этом сертификате;
добровольное заявление владельца сертификата;
изменения полномочий текущего владельца сертификата.
Ключевая пара — это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).
Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации пользователя УЦ выдаёт ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим.
Открытый ключ известен всем, в то время закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в тайне и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ всё-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то, что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.
Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифрования данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.
Одним из ключевых понятий ИОК является электронная подпись. В рамках этой статьи понятия подпись, электронная подпись (ЭП), цифровая подпись и электронная цифровая подпись (ЭЦП) взаимозаменяемы. В Федеральном Законе РФ № 1 «Об электронно-цифровой подписи» от 2001 года, существовало только понятие электронно-цифровой подписи. Федеральный Закон РФ № 63 «Об электронной подписи» от 2011 года расширил понятие подписи. В соответствии со статьей 5 «Виды электронных подписей», различают простую электронную подпись и усиленную электронную подпись. В текущей статье и практически во всех литературных источниках об Инфраструктуре Открытых Ключей, как англоязычных, так и русскоязычных, под понятием подписи понимается усиленная электронная подпись.
Электронная подпись — это результат использования алгоритма электронной подписи на хеш данных (документа/сообщения/файла).
Подлинность электронной подписи проверяется следующим образом:
Получатель получает данные (зашифрованные или в открытом виде) и электронную подпись.
[Опциональный шаг, так как документ/сообщение/файл мог быть отправлен в открытом виде]. Данные расшифровываются с помощью либо заранее оговоренного симметричного ключа, либо с помощью закрытого ключа получателя (во втором случае данные были зашифрованы с помощью открытого ключа получателя, извлеченного из его сертификата).
Получатель вычисляет хеш расшифрованного документа/сообщения/файла (алгоритм хеша указан в сертификате).
Получатель применяет к электронной подписи алгоритм снятия подписи (алгоритм подписи указан в сертификате), в результате чего получает хеш исходного документа/сообщения/файла.
Получатель сравнивает хеши. Если они одинаковы — электронная подпись считается действительной, при условии, что сертификат действителен и был применен в соответствии с его политиками.
В число приложений, поддерживающих PKI, входят: защищённая электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной цифровой подписью (ЭП).
Краткое описание процесса работы с личными сертификатами[править | править код]
Для того чтобы получить сертификат, нужно обратиться в Удостоверяющий Центр. Перед запросом на получение сертификата нужно удостовериться, что данный УЦ аккредитован в той сфере, где владелец сертификата будет его использовать. Для получения сертификата необходимо сгенерировать пару открытый-закрытый ключи; это производит либо пользователь, либо УЦ, в зависимости от политики Удостоверяющего Центра или договоренностей между клиентом и УЦ.
Для использования сертификатов (подписи или проверки подписи), пользователь должен установить на используемую Операционную систему криптографические средства, поддерживающие работу с данными сертификатами и алгоритмами электронной подписи.
После получения сертификата его нужно установить в свою систему. При использовании ОС семейства Windows, после установки сертификата его можно будет увидеть через оснастку «хранилище личных сертификатов» (Пуск -> Выполнить -> certmgr.msc -> OK). В свойствах можно увидеть время действия сертификата, кем он был выдан, кому был выдан, его уникальный номер и другие атрибуты. Для того, чтобы клиент мог работать с удостоверяющим центром, необходимо включить центр в список доверенных. После включения в этот список, любой сертификат, выданный доверенным центром, считается достоверным, а его владелец — достойным доверия. Пользователи обмениваются сертификатами (таким образом происходит обмен открытыми ключами) и начинают взаимодействие.
Архитектуры PKI[править | править код]
В основном выделяют 5 видов архитектур PKI, это:
простая PKI (одиночный УЦ)
иерархическая PKI
сетевая PKI
кросс-сертифицированные корпоративные PKI
архитектура мостового УЦ
В основном PKI делятся на разные архитектуры по следующим признакам:
количество УЦ (а также количество УЦ, которые доверяют друг-другу)
сложность проверки пути сертификации
последствия выдачи злоумышленником себя за УЦ
Рассмотрим более подробно каждую из архитектур PKI в отдельности.
1. Простая PKI[править | править код]
Как уже говорилось выше, самая простая из архитектур, это архитектура одиночного УЦ. В данном случае все пользователи доверяют одному УЦ и переписываются между собой. В данной архитектуре, если злоумышленник выдаст себя за УЦ, необходимо просто перевыпустить все выписанные сертификаты и продолжить нормальную работу.
2. Иерархическая PKI[править | править код]
Иерархическая структура — это наиболее часто встречающаяся архитектура PKI. В данном случае во главе всей структуры стоит один Головной УЦ, которому все доверяют и ему подчиняются нижестоящие УЦ. Кроме этого головного УЦ в структуре присутствуют ещё не один УЦ, который подчиняется вышестоящему, которому в свою очередь приписаны какие-либо пользователи или нижестоящие УЦ. Частный пример иерархической PKI — корпоративная PKI. В иерархической PKI, даже если злоумышленник выдал себя за какой — либо УЦ, сеть продолжает работать без него, а когда он восстанавливает нормальную работоспособность — он просто снова включается в структуру.
3. Сетевая PKI[править | править код]
Сетевая архитектура PKI строится как сеть доверия, многочисленные удостоверяющие центры которой предоставляют PKI-сервисы и связаны одноранговыми, то есть равноправными, отношениями. Но в данном случае нет одного головного УЦ, которому все доверяют. В этой архитектуре все УЦ доверяют рядом стоящим УЦ, а каждый пользователь доверяет только тому УЦ, у которого выписал сертификат. Удостоверяющие центры выпускают сертификаты друг для друга; пара сертификатов описывает двусторонние отношения доверия. В данную архитектуру PKI легко добавляется новый УЦ, для этого ему нужно обменяться сертификатами, по крайней мере, с одним УЦ, который уже входит в сеть. В данной архитектуре наиболее сложное построение цепочки сертификации.
Сетевые PKI обладают большой гибкостью, так как имеют многочисленные пункты доверия. Компрометация одного УЦ не отражается на сетевой PKI в целом: удостоверяющие центры, которые выпустили сертификаты для скомпрометированного УЦ, просто аннулируют их, тем самым удаляя из инфраструктуры ненадежный УЦ. В результате не нарушается работа пользователей, связанных с другими удостоверяющими центрами, — они по-прежнему могут полагаться на надежные пункты доверия и защищенно связываться с остальными пользователями своей PKI. Компрометация сетевой PKI приводит либо к тому, что сворачивается работа одного УЦ вместе с его сообществом пользователей, либо, если стали ненадежными несколько удостоверяющих центров, к тому, что PKI распадается на несколько меньших инфраструктур. Восстановление после компрометации сетевой PKI происходит проще, чем иерархической, прежде всего, потому что компрометация затрагивает меньше пользователей.
Построить путь сертификации в сети достаточно сложно, поскольку этот процесс не детерминирован и имеются многочисленные варианты формирования цепи сертификатов. Одни из них приводят к построению правильного пути, другие — заводят в тупик. По этой причине валидация пути сертификации часто выполняется одновременно с его построением, частью этого процесса является удаление неверных ветвей. Для построения правильного пути используется несколько дополнительных полей сертификатов.
Данный вид архитектуры можно рассматривать как смешанный вид иерархической и сетевой архитектур. Есть несколько фирм, у каждой из которых организована какая-то своя PKI, но они хотят общаться между собой, в результате чего возникает их общая межфирменная PKI.В архитектуре кросс-сертифицированной корпоративной PKI самая сложная система цепочки сертификации.
Архитектура мостового УЦ разрабатывалась для того, чтобы убрать недостатки сложного процесса сертификации в кросс-сертифицированной корпоративной PKI. В данном случае все компании доверяют не какой-то одной или двум фирмам, а одному определённому мостовому УЦ, который является практически их головным УЦ, но он не является основным пунктом доверия, а выступает в роли посредника между другими УЦ.
Внедрение инфраструктуры управления открытыми ключами с учетом снижения затрат и сроков внедрения осуществляется в течение семи этапов.
Этап 1. Анализ требований к системе.
Этап 2. Определение архитектуры.
Этап 3. Определение регламента.
Этап 4. Обзор системы безопасности. Анализ и минимизация рисков.
Этап 5. Интеграция.
Этап 6. Развертывание.
Этап 7. Эксплуатация.
Электронная подпись (ЭП)[править | править код]
Сторона А для документа вычисляет хеш-функцию, затем полученное значение шифруется с помощью закрытого ключа (private key) получая ЭП. Сторона Б получает документ, ЭП и сертификат (ссылку на сертификат) стороны А, верифицирует сертификат открытого ключа стороны А в удостоверяющем центре, дешифрует полученную ЭП при помощи публичного ключа (public key), вычисляет хеш-функцию документа и проверяет с расшифрованым значением. Если сертификат стороны А действителен и проверка прошла успешно, принимается, что документ был подписан стороной А.
Шифрование сообщений[править | править код]
Сторона Б зашифровывает документ открытым ключом стороны А. Чтобы убедиться, что открытый ключ действительно принадлежит стороне А, сторона Б запрашивает сертификат открытого ключа у удостоверяющего центра. Если это так, то только сторона А может расшифровать сообщение, так как владеет соответствующим закрытым ключом.
Авторизация[править | править код]
Сертификаты могут использоваться для подтверждения личности пользователя и задания полномочий, которыми он наделён. В числе полномочий субъекта сертификата может быть, например, право просматривать информацию или разрешение вносить изменения в материал, представленный на web-сервере.
Из всего выше сказанного можно выделить некоторые пункты, а также добавить новые, для того чтобы определить основные термины, используемые в PKI. Итак, в PKI используются термины:
Сертификат открытого ключа
электронный документ удостоверенный электронной подписью удостоверяющего центра, содержащий открытый ключ, информацию о сроке его действия и владельце ключа.
Закрытый ключ
ключ, известный только его владельцу, сгенерированный с помощью асимметричного криптографического алгоритма, использующийся для электронной подписи данных и расшифровки данных зашифрованных на соответствующем этому закрытому ключу открытом ключе.
Открытый ключ
ключ, создаваемый в паре с закрытым ключом с помощью асимметричного криптографического алгоритма, используется для шифрования данных и проверки электронной подписи.
информация, по которой можно идентифицировать открытый ключ. Отпечаток создаётся путём применения криптографической хеш-функции к значению открытого ключа.
Подписанные данные
данные, подписанные при помощи закрытого ключа пользователя.
Зашифрованные данные
данные, зашифрованные при помощи открытого ключа пользователя.
Путь доверия
цепочка документов, которая позволяет удостовериться, что предъявленный сертификат был выдан доверенным центром; последним звеном в этой цепочке является предъявленный сертификат, начальным — сертификат корневого доверенного центра сертификации, а промежуточными — сертификаты, выданные промежуточным центрам сертификации. Особенностью пути доверия является то, что при потере доверия к начальному звену цепочки (корневому центру сертификации) теряется доверие ко всей цепочке, то есть ко всем выданным данным центром сертификатам и к предъявленному в том числе.
Личные сертификаты
сертификаты которые хранятся у пользователя в личном хранилище сертификатов.
Корневые центры сертификации
центры сертификации, которым доверяют изначально все, либо руководствуясь политикой предприятия, либо из-за предустановленных настроек хранилища сертификатов, и которые могут находиться в начале пути доверия.
Доверенные центры сертификации
список центров сертификации, которым доверяют владельцы сертификатов. Чтобы сделать какой-либо центр доверенным, достаточно получить от него сертификат и внести его в список доверенных центров.