ПОЗНАВАТЕЛЬНОЕ

Оси и плоскости тела человека - Тело человека состоит из определенных топографических частей и участков, в которых расположены органы, мышцы, сосуды, нервы и т.д.

Отёска стен и прирубка косяков - Когда на доме не достаёт окон и дверей, красивое высокое крыльцо ещё только в воображении, приходится подниматься с улицы в дом по трапу.

Дифференциальные уравнения второго порядка (модель рынка с прогнозируемыми ценами) - В простых моделях рынка спрос и предложение обычно полагают зависящими только от текущей цены на товар.

Інфраструктури відкритих ключів (PKI)

1 234 5

PKI, як і простий сервер-депозитарій, має базу даних для збереження сертифікатів, але, у той же час, надає сервіси і протоколи для керування відкритими ключами. У них входять можливості випуску (видання), відкликання (анулювання) і системи довіри сертифікатів. Головною же особливістю PKI є наявність компонентів, відомих як Центр сертифікації (Certification Authority, CA) і Центр реєстрації (Registration Authority, RA). Центр сертифікації (ЦС) видає цифрові сертифікати і підписує їх своїм закритим ключем. Через важливість своєї ролі, ЦС є головним компонентом інфраструктури PKI. Використовуючи відкритий ключ ЦС, будь-який користувач, що бажає перевірити дійсність конкретного сертифіката, звіряє підпис Центра сертифікації і, отже, засвідчується в цілісності інформації, що утримується в сертифікаті, і, що важливіше, у взаємозв'язку зведень сертифіката і відкритого ключа.

Як правило, Центром реєстрації (ЦР) називається система людей, механізмів і процесів, що служить цілям зарахування нових користувачів у структуру PKI і подальшого адміністрування постійних користувачів системи. Також ЦР може робити «веттинг» – процедуру перевірки того, чи належить конкретний відкритий ключ передбачуваному власникові.

ЦР – це людське співтовариство: особа, група, департамент, компанія або інша асоціація. З іншого боку, ЦС – звичайно, програма, що видає сертифікати своїм зареєстрованим користувачам. Існують і захищені від злому апаратні реалізації ЦС, споруджені з куленепробивних матеріалів і постачені «червоною кнопкою», що анулює в критичній ситуації усі видані ключі. Роль ЦР-ЦС аналогічна тієї, що виконує державний паспортний відділ: одні його співробітники перевіряють, потрібно чи видача паспорта (робота ЦР), а інші виготовляють сам документ і передають його власникові (робота ЦС). Наявність ЦР для ЦС не обов'язково, але воно забезпечує поділ функцій, що іноді необхідно. Формат сертифікатів Цифровий сертифікат – це набір ідентифікуючих зведень, зв'язаних з відкритим ключем і підписаних довіреною третьою особою, щоб довести їхня дійсність і взаємозв'язку. Сертифікат може бути представлений безліччю різних форматів. PGP підтримує два формати сертифікатів:

· Сертифікати OpenPGP (частіше називані просто ключами PGP)

· Сертифікати X.509

Формат сертифікату PGP

Сертифікат PGP містить:

· Відкритий ключ власника сертифіката – відкрита частина ключової пари і її алгоритм: RSA v4, RSA Legacy v3, DH або DSA.

· Зведення про власника сертифіката – інформація, що ідентифікує особистість користувача: його ім'я, адреса електронної пошти, номер ICQ, фотографія і т. д.

· ЕЦП власника сертифіката – підпис ключової пари, зв'язаної із сертифікатом (т.зв. автопідпис).

· Період дії сертифіката – дата початку дії сертифіката і дата закінчення його дії; указує на те, коли сертифікат стане недійсним (аналогічно терміну дії посвідчення водія). Якщо ключова пара містить додаткові підключи шифрування, то тут буде зазначений період дії кожного з них .

· Кращий алгоритм шифрування – указує на те, зашифровану яким алгоритмом інформацію воліє одержувати власник сертифіката. Підтримуються такі: CAST, AES, IDEA, Triple-DES і Twofish.

Ви можете представити сертифікат PGP у виді відкритого ключа з однієї або декількома прив'язаними до нього «бирками». На цих «бирках» зазначена інформація, що ідентифікує власника ключа, а також підпис цього ключа, що підтверджує, що ключ і ідентифікаційні зведення взаємозалежні. (Цей вид підпису називається автопідписом (self-signature); її містить кожен PGP-сертифікат.) Унікальний аспект формату сертифікатів PGP у тім, що кожен сертифікат може містити безліч підписів. Будь-яка людина може підписати ідентифікаційно-ключову пару, щоб завірити, покладаючись на своє особисте переконання, що відкритий ключ належить саме зазначеному в ID користувачеві. Якщо пошук на суспільних серверах-депозитаріях, то можете знайти деякі ключі, як, наприклад, що належить авторові PGP Філу Ціммерману, що містять величезну кількість підписів. Деякі PGP-сертифікати складаються з відкритого ключа з декількома «бірками», кожна з яких містить власні зведення, що ідентифікують власника ключа (наприклад, ім'я власника і його робітник e-mail, прізвисько власника і його домашній e-mail, фотографія власника – усі на одному сертифікаті). Список підписів на кожній з «бірок» може бути різним; підпису вказують на вірогідність визначеної «бірки» і її приналежність відкритому ключеві, а не на те, що всі «бірки» достовірні. (Врахуйте, що «вірогідність» залежить від встоновленого неї : підпису – це думки, і різні люди приділяють різний ступінь уваги перевірці дійсності перед підписанням ключа.)

Формат сертифіката Х.509

Х.509 – це інший дуже розповсюджений формат. Усі сертифікати Х.509 відповідають міжнародному стандартові ITU-T X.509; у такий спосіб (теоретично), сертифікат Х.509, створений для одного додатка, може бути використаний у будь-якому іншому, підтримуючий цей стандарт. На практиці, однак, склалася ситуація, що різні компанії створюють власні розширення для Х.509, не усі з яких між собою сумісні. Усякий сертифікат вимагає, щоб хтось завірив взаємозв'язок відкритого ключа й ідентифікуючого власника ключа інформації. Маючи справу з PGP-сертифікатом, кожний може виступати як завіритель зведень, що утримуються в ньому, (за винятком випадків, коли ця можливість навмисно обмежена політикою безпеки). Але у випадку сертифікатів Х.509 завірителем може бути тільки Центр сертифікації або хтось, спеціально вповноважений їм на цю роль. (Майте на увазі, що PGP-сертифікати також повною мірою підтримують ієрархічне структурування системи довіри, що використовує ЦС для посвідчення сертифікатів.) Сертифікат Х.509 – це набір стандартних полів, що містять зведення про користувача або пристрій, і їх відповідний відкритий ключ. Стандарт Х.509 визначає, які зведення входять у сертифікат і як вони кодуються (формат даних).

Сертифікат Х.509 містить такі зведення :

· Версія Х.509 – указує, на основі якої версії стандарту Х.509 побудований даний сертифікат, що визначає, яка інформація може в ньому утримуватися.

· Відкритий ключ власника сертифіката – відкритий ключ поряд з ідентифікатором використовуваного алгоритму (вказуючим криптосистему, до якої належить даний ключ) і інша інформація про параметри ключа.

· Серійний номер сертифіката – організація-видавець сертифіката зобов'язаний привласнити йому унікальний серійним (порядковий) номер для його впізнання серед інших сертифікатів, виданих даною організацією. Ця інформація застосовується в ряді випадків; наприклад, при анулюванні сертифіката, його серійний номер міститься до реєстру анульованих сертифікатів (Certificate Revocation List, CRL).

· Унікальний встановлювач власника ключа (або DN, distinguished name – унікальне ім'я) – це ім'я повинне бути унікальному і єдиним у всьому Інтернету . DN складається з декількох підпунктів і може виглядати приблизно так:

CN=Bob Davis, EMAI=bdavis@pgp.com, OU=PGP Engineering, O=PGP Corporation, C=US

(Що позначає Зрозуміле ім'я суб'єкта, Електронну пошту, Підрозділ організації, Організацію і Країну відповідно.)

· Період дії сертифіката – дата початку дії сертифіката і дата закінчення його дії; указує на те, коли сертифікат стане недійсний.

· Унікальне ім'я видавця – унікальне ім'я організації, що підписав сертифікат. Звичайно, це найменування Центра сертифікації. Використання сертифіката має на увазі довіра організації, його що підписала. (У випадках з кореневими сертифікатами організація, що видала – цей же ЦС – підписує його сама.)

· ЕЦП видавця – електронний підпис, створений закритим ключем організації, що видав сертифікат.

· Ідентифікатор алгоритму підпису – вказує алгоритм, використаний ЦС для підписання сертифіката.

Існує ряд фундаментальних розходжень між форматами сертифікатів Х.509 і PGP:

· ви можете особисто створити власний сертифікат PGP; ви повинні запросити й одержати сертифікат Х.509 від Центра сертифікації;

· сертифікати Х.509 містять тільки одне ім'я власника сертифіката;

· сертифікати Х.509 містять тільки одну ЕЦП, що підтверджує дійсність сертифіката.

Щоб одержати сертифікат Х.509, ви повинні попросити ЦС видати його вам. Ви надаєте системі свій відкритий ключ, чим доводите, що володієте відповідно закритим, а також деякі ідентифікуючі ваші зведення . Потім ви электронно підписуєте ці зведення і відправляєте весь пакет – запит сертифіката – у Центр сертифікації. ЦС виконує визначений процес перевірки дійсності наданої інформації і, якщо усе сходиться, створює сертифікат, підписує і повертає вам. Ви можете представити сертифікат Х.509, як звичайний паперовий сертифікат або атестат із приклеєним до нього відкритим ключем. На ньому зазначене ваше ім'я, а також деякі зведення про вас, плюс підпис видавця сертифіката. Імовірно, найбільша користь від сертифікатів Х.509, це їхнє застосування у Веб-браузерах.

Дійсність і довіра

Будь-який користувач у середовищі криптосистем з відкритим ключем ризикує рано або пізно прийняти помилково підроблений ключ (сертифікат) за дійсний. Вірогідність (дійсність) є в тому, що конкретний відкритий ключ належить передбачуваному власникові, чия ідентифікаційна інформація зазначена в сертифікаті ключа. Дійсність є одним з найважливіших критеріїв у середовищі системи відкритих ключів, де ви повинні визначати автентичність кожного конкретного сертифіката.

Переконавши, що чужий відкритий ключ достовірний (тобто дійсно належить саме передбачуваному власникові), ви можете підписати копію цього ключа на своєму зв'язуванні, чим засвідчите факт, що ви його перевірили і прийняли за достовірний. Якщо захочете, щоб інші знали ваш ступінь довіри цьому сертифікатові, ви можете експортувати свій підтверджуючий підпис на сервер-депозитарій для того, щоб інші могли неї бачити і могли на неї покластися при визначенні дійсності цього ключа.

Деякі компанії вповноважують один або кілька Центрів сертифікації (ЦС) на перевірку дійсності сертифікатів. В організації, що використовує PKI із сертифікатами Х.509, задача Центрів реєстрації складається в прийомі запитів на сертифікати, а задача Центрів сертифікації – у видачі сертифікатів кінцевим користувачам: процес відповіді на запит користувача на одержання сертифіката. В організації, що використовує сертифікати PGP без PKI, задача ЦС – у перевірці вірогідності всіх PGP-сертифікатів і підписанні справжніх. Як правило, основна мета ЦС – власним підписом «зв'язати» відкритий ключ з ідентифікаційною інформацією, що утримується в сертифікаті, чим завірити третіх осіб, що були прийняті визначені заходи для встановлення зв'язку між ключем і ідентифікаційними зведеннями.

Центр сертифікації в організації – це камінь системи дійсності і довіри; у деяких організаціях, як, наприклад, у тих, котрі використовують PKI, жоден сертифікат не вважається справжнім, поки не буде підписаний довіреним ЦС.

Перевірка дійсності

Один зі способів визначення дійсності сертифіката – деяка механічна процедура. Існує кілька методик її проведення. Наприклад, ви можете попросити свого кореспондента передати копію його відкритого ключа «фізично», тобто вручити на твердому носії – магнітному або оптичному диску тощо Але найчастіше це буває незручно і неефективно.

Інший варіант – звірити відбиток (fingerprints) сертифіката. Наскільки унікальні відбитки пальців людей, настільки ж унікальні і відбитки кожного сертифіката PGP. Відбиток – це хеш-значення сертифіката користувача, що показано як одне з його властивостей. У PGP відбиток може бути представлений або як шестнадцяткове число, або як набір біометричних слів, фонетично чіткого і застосовуваних для спрощення вербальної ідентифікації відбитка.

Ви можете визначити дійсність сертифіката подзвонивши власникові ключа і попросивши його прочитати відбиток з його ключа; вам же потрібно звірити цей відбиток проти того, котрий знаходиться на отриманій вами копії. Такий спосіб допустимо, якщо вам знайомий голос кореспондента, але як ви встановите особистість того, з ким навіть незнайомі? Деякі з цією метою поміщають відбитки ключів на свої візитні картки. Ще один метод визначення дійсності чужого сертифіката – покластися на думку третьої сторони, що вже установила його дійсність.

ЦС, наприклад, відповідає за детальну перевірку приналежності відкритого ключа передбачуваному власникові перед видачею йому сертифіката. Будь-який користувач, що довіряє ЦС, буде автоматично розцінювати справжніми всі сертифікати, підписані ЦС. Рівнобіжний аспект перевірки дійсності і вірогідності полягає в тому, щоб переконатися, що сертифікат не був анульований (відкликаний).

Установлення довіри

Ви самі засвідчуєте сертифікати. Але ви також довіряєте людям. Тому ви можете довірити людям і право засвідчувати сертифікати. Як правило, якщо тільки власник сам не вручив вам копію ключа, ви повинні покластися на чиюсь чужу думку про його дійсність.

1 234 5