Описание цифровых сертификатов

  • 5 мин

Криптография имеет множество применений в современном мире. Вы узнали, как шифрование может обеспечить конфиденциальность сообщений. Вы также узнали, как хэширование используется в цифровых подписях для проверки того, что сообщение не было незаконно изменено. В этом уроке вы узнаете о цифровых сертификатах и о том, как они обеспечивают дополнительный уровень безопасности.

Сертификаты решают возможность неэтичного человека перехвата, изменения или подделки сообщений, которые могут возникать в цифровой связи.

По своей сути цифровой сертификат является учетными данными, выданными центром сертификации (ЦС), которые можно использовать для подтверждения личности человека или сущности, которому выдан сертификат (субъекта сертификата). В этом смысле цифровой сертификат аналогичен паспорту или другим удостоверениям, выданным доверенным органом или государственным агентством, используемым для подтверждения личности. Данные в сертификате содержат информацию о субъекте, открытом ключе субъекта из пары открытых и закрытых ключей, и они подтверждены центром сертификации.

Чтобы получить цифровой сертификат, лицо или сущность отправляет запрос на сертификацию в доверенный ЦС. Сведения об удостоверении запрашивающей стороне и его открытом ключе из пары открытого и закрытого ключей, созданной из доступного средства, включаются в запрос сертификата. В некоторых случаях запрашивающая сторона может запросить у ЦС выдачу пары ключей от его имени в рамках запроса. В любом случае закрытый ключ всегда хранится в секрете отдельным пользователем или сущностью. ЦС проверяет все сведения в удостоверении, отправляемые в запросе, чтобы определить, соответствует ли он критериям ЦС для выдачи сертификата. Если ЦС утверждает запрос, он подписывает и выдает сертификат, содержащий сведения об субъекте и открытом ключе субъекта.

Срок действия цифрового сертификата обычно составляет один год, после чего срок действия сертификата истекает. В этом случае выдается предупреждение о просроченном сертификате. В предупреждении указывается, что личность субъекта не может быть подтверждена.

Обычное приложение цифровых сертификатов, которое видно пользователю, находится в веб-обмене данными. Цифровые сертификаты используются веб-сайтами, которые используют безопасный протокол связи HTTPS, что обозначается значком замка в адресной строке браузера. Если нажать значок замка в адресной строке, можно выбрать несколько вариантов, которые предоставляют дополнительные сведения.

Схема со значком замка в адресной строке сайта.

При выборе параметра "Подключение защищено" отображаются сведения о подключении, как показано на рисунке ниже.

Сайт имеет действительный сертификат, выданный доверенным центром. Информация безопасно отправляется на сайт и не может быть перехвачена.

При выборе значка сертификата отображаются сведения о цифровом сертификате.

На этом изображении представлены сведения о цифровом сертификате, в том числе назначение сертификата, кому он выдан, кем выпущен и сколько времени будет действовать.

Зачем нужны цифровые сертификаты?

В предыдущем уроке мы описали процесс асимметричного шифрования и способ использования пар открытого и закрытого ключей. В этом примере Куинси и Моника хотят безопасно обмениваться данными, чтобы каждый из них мог создать свою пару ключей, используя доступное программное обеспечение. Моника и Куинси обмениваются своим открытыми ключами друг с другом, но держат свои закрытые ключи в секрете. Когда Куинси хочет отправить защищенное сообщение Монике, он использует ее открытый ключ для шифрования и отправки сообщения. Моника использует свой закрытый ключ для расшифровки сообщения.

Использование асимметричного шифрования, описанное в примере, гарантирует конфиденциальность сообщения. Поскольку открытые ключи являются общедоступными, нет ничего, что проверяет что, открытый ключ, используемый Куинси, действительно получен от Моники. Аналогичным образом, нет ничего, что проверяет, что сообщение было на самом деле отправлено Куинси. В этом случае существует возможность незаконного перехвата, изменения или подделки сообщения. Цифровые сертификаты играют важную роль в устранении этого риска.

Предположим, что сертификат был выдан Монике доверенным ЦС, и она поделилась им с Куинси. Сертификат связывает удостоверение Моники с открытым ключом. Поскольку Куинси использует открытый ключ в сертификате Моники, Куинси уверен, что открытый ключ получен от Моники, и расшифровать сообщение можно только с помощью закрытого ключа Моники.

Предположим, что цифровой сертификат Куинси также был выдан доверенным ЦС. Куинси использует свой закрытый ключ для цифровой подписи сообщения. Куинси отправляет подписанное сообщение Монике вместе с цифровым сертификатом, содержащим его открытый ключ. Цифровой сертификат связывает удостоверение Куинси с открытым ключом, поэтому использование открытого ключа в сертификате служит для проверки того, что сообщение не было изменено, и подтверждает, что сообщение получено от Куинси. Без цифрового сертификата цифровая подпись служит только для подтверждения того, что сообщение не было незаконно изменено.