Дигитално уверение

Во криптографијата, уверение на јавен клуч (исто така познат како дигитално уверение или уверение за идентитет) — електронски документ кој користи дигитален потпис да го поврзе јавниот клуч со идентитетот - информации како на пример името на лицето или организацијата, нивната адреса, и така натаму. Уверението може да се користи за да се потврди дека јавниот клуч припаѓа на поединецот.

Дијаграм за пример употреба на дигитално уверение

Во една типична инфраструктура на дигитални уверенија или (PKI) шема, потписот ќе биде на авторитетот на уверенија (CA). Во шемата за доверба на мрежното место, потписот му припаѓа или на корисникот или само доделениот уверение или ("текстовите") на другите корисници. Во секој случај, потписи на уверението се потврдуваат со потписник на уверението дека информациите за идентитетот и дигиталниот клуч одат заедно.

За докажување на безбедностa ова потпирање на нешто што е надвор од системот има последица дека секој шема на заверка со јавен клуч треба да се потпира на некои посебни претпоставви, како на пример постоењето на уверенија.[1]

Уверенија може да се создадат за Unix-засновани опслужувачи со команди на алатки како што се OpenSSLca Архивирано на 18 јануари 2012 г..[2] или SuSE. Овие може да се користат за издавање неменаџирани уверенија, авторитет за уверенија (CA), уверенија за управување со други уверенија, за барања за корисничките и/или компјутерските уверенија да биде потпишани од страна на CA, како и голем број на други функции поврзани со уверенија.

Слично на тоа, Microsoft Windows 2000 Server и Windows Server 2003 содржат авторитет за заверка (CA) како дел од услуги за уверение за создавање на дигитални уверенија. Во Windows Server 2008 CA може да се инсталира како дел од Active Directory . На CA се користи за управување на уверенија за корисници и / или компјутери. Microsoft исто така обезбедува голем број на различни заверувачки услуги, како SelfSSL.exe за создавање неменаџирани уверенија, и Certreq.exe за создавање и поднесување уверение кое треба да биде потпишано од страна на CA, и certutil.exe за голем број на други функции поврзани со уверенијата.

Содржина на типичен дигитален уверение

уреди

Сериски број: Се користи за да се идентификува уникатно уверението.

Предмет: Лице, или ентитет што се идентификува.

Алгоритам за Потпис : Алгоритам што се користи за создавање на потпис.

Потпис: Актуелна потпис да се потврди дека станува збор за издавачот.

Издавач: ентитет што ја идентификува информацијата и го издава уверението.

Валиден-Од: Датумот на уверението од кој почнува да важи.

Валиден-до: Датумот на истекување на уверението.

Клучни-Употреба: Целта на јавниот клуч (на пр. енкриптирање, потпис, потпишување на уверение ...).

Јавен клуч: Јавниот клуч.

Алгоритам на Печатот : Алгоритам што се користи за хаширање на јавниот клуч.

Печат: Самиот хаш, што се користи како скратена форма на јавен клуч.

Класификација

уреди

Добавувачки дефинирани класи

уреди

VeriSign го користи концептот на класи за различни типови на дигитални уверенија [3]:

  • Класа 1 за поединци, наменета за електронско писмо.
  • Класа 2 за организациите, каде е потребен идентитетот за доказ.
  • Класа 3 за опслужувачи и софтвери, за кои независната верификација и проверка на идентитет и авторитет е направена од страна на издавање на уверенија.
  • Класа 4 за онлајн бизнис трансакции меѓу компаниите.
  • Класа 5 за приватни организации или владина безбедност.

Другите добавувачи можат да изберат да користат различни класи или класи кои не се специфицирани со SSL протоколот иако, повеќето не се одлучуваат да ги користат класите во некоја форма.

Secure Sockets Layer (SSL) и Transport Layer Security (TLS) се два најраспространети безбедносни протоколи денес во употреба. SSL во суштина е протокол кој овозможува безбеден канал меѓу две машини кои работат преку интернет или внатрешна мрежа. Во денешниот интернет фокусиран свет, обично SSL се употребува кога преку прелистувачот треба да безбедно се поврзете со опслужувачот преку несигурни интернет.

Технички SSL е транспарентен протоколот, кој бара малку интеракција од крајниот корисник при воспоставување на безбедна сесија. На пример, во случај на прелистувач, корисниците се предупредени за присуство на SSL кога прелистувачот ги прикажува катанец, или во случај на напредна валидација SSL полето за адреса прикажува и катанец и зелена лента или зелено име. Ова е клучот на успехот на SSL - тој обезбедува едноставено, но сигурно искуство за крајните корисници.

Користење во Европската унија

уреди

Директивата на Европска Унија во рамка на Заедницата за електронски потписи[4] го дефинира терминот квалификувано уверение како "потврда која ги задоволува барањата утврдени во Анекс I и е обезбедена од страна на сервис-услужникот за заверка кој ги исполнува условите утврдени во Анекс II ":

Анекс I: Барања за квалификувани уверенија

Квалификуваните уверенија треба да содржат:

(а) индикација дека уверението е издаден како квалификувано уверение;

(б) идентификација на сервис-услужникот за заверка и државата во која тој е прифатен;

(в) името на потписникот или псевдоним, кои ќе бидат идентификувани;

(г) обезбедување за специфични атрибути на потписникот да бидат вклучени доколку тоа е важно, во зависност од тоа за што е наменет уверението;

(д) податоци за верификација на потпис кои одговараат на создавање на потписи под контрола на потписникот;

(ѓ) наведување на почетокот и на крајот на периодот на важење на уверението;

(е) идентитеификувачки код на уверението;

(ж) напреден електронски потпис што го издава сервис-услужникот;

(з) ограничувања на обемот на користење на уверението, ако е потребно;

(ѕ) ограничувања на вредноста на трансакциите за кои уверението може да се користи, ако тое е применливо.

Барања на Анекс II за сервис-услужници за заверка што издаваат уверенија

Услужниците за заверка мора да:

(а) демонстрираат сигурност потребна за обезбедување на услуги на заверка;

(б) обезбеди функционирање на брз и безбеден директориум и сигурно и итно повлекување на услуги;

(в) да се осигура дека датумот и времето кога уверението е издаден или отповикан може да се утврдат точно;

(г) да го потврди идентитетот, со соодветни средства во согласност со националното законодавство, и доколку е применливо, да одобри специфични атрибути на лицето на кое му се издава квалификувано уверение;

(д) вработување на персонал кој поседува стручно знаење, искуство, и квалификации потребни за услугите, особено надлежност на раководно ниво, експертиза во технологија на електронски потпис и има блискост со соодветните безбедносни процедури. Тие исто така мора да се вклучат административни и управувачки процедури кои се соодветни и одговараат на прифатените стандарди;

(ѓ) употреба на сигурен системи и производи кои се заштитени од промена и да се обезбеди техничка и криптографска безбедност на процесот;

(ж) да преземе мерки против фалсификување на уверенија, а во случаите каде што сервис-услужникот генерира податоци за создавање на потписи, да гарантира доверливост за време на процесот на генерирање на такви податоци;

(з) одржување на доволно финансиски средства за да работат во согласност со барањата утврдени во оваа Директива, особено да носат ризик за одговорност за штета, на пример, со добивање на соодветно осигурување;

(ѕ) ги снимаат сите релевантни информации во врска со квалификуван уверение за соодветен период на време, особено заради обезбедување на докази за заверка за потребите на правните постапки. Таквите снимања може да се вршат по електронски пат;

(и) не ги чуваат или копираат податоците за создавање на потписи за лицето на кое сервис услужникот за заверка ги обезбедува клучните управувачки сервиси;

(ј) пред да влезат во договорен однос со лицето кое бара уверение за поддршка на неговиот електронски потпис да го известат тоа лице за прецизни рокови и услови во однос на употребата на уверението, вклучувајќи какви било ограничувања на неговата употреба, постоењето на можноста за акредитација и процедури за жалби и решавање на спорот. Таквите информации, кои може да се пренесуваат по електронски пат, мора да бидат во писмена форма и на разбирлив јазик. Релевантните делови од оваа информација, исто така, мора да бидат достапни на барање на трети лица кои се потпираат на уверението;

(к) употреба на сигурен системи за чување на уверенија во верификувачка форма, така што:

  • Само овластени лица да внесат записи и промени,
  • Информациите може да се проверат за автентичност,
  • Уверенијата се јавно достапни за пронаоѓање само во оние случаи за кои носителот на уверението има издадено согласност,
  • Сите технички промени кои може да ги загрозат овие барања за безбедност се видливи за операторот.

Уверенија и безбедност но мрежно место

уреди

Најчестата употреба на уверенија е за HTTPS-засновани мрежни места. прелистувачот потврдува дека SSL опслужувачот е автентичен, така што корисникот може да се чувствува сигурни дека неговата / нејзината интеракција со мрежното место е безбедна и дека мрежното место е тоа што тврди дека е. Оваа гаранција е важна за електронската трговија. Во пракса, операторот на мрежното место добива уверение со услуги од услужникот кој претставува комерцијален продавач на уверенија, со потпишување на барањето за уверение. Барањето за уверението електронски документ кој го содржи името на мрежното место, контакт адресата и информациите за компанијата. Услужникот за уверение го потпишува барањето, со што уверението станува јавен. Во текот на прелистувувањето, јавниот уверение се нуди на било кој пребарувач, кој се поврзува со мрежното место и се докажува на прелистувачот дека е издаден уверение на сопственикот на мрежното место.

Пред издавање на уверение, услужникот за уверенија ќе побара контакт e-mail адреса за мрежното место од јавна сопственост, и ќе провери дали објавената адреса е иста со онаа доставена во барањето за уверението. Затоа, https мрежно место е само сигуро до тој степен што крајниот корисник може да бидете сигурен дека мрежно место е управувано од страна на некој во контакт со лицето кое го регистрирало доменот.

Како пример, кога корисникот се поврзува до https://www.example.com/ со својот интернет пребарувач, ако на прелистувачот не се појавува уверение предупредувачка порака, тогаш на корисникот може да е теоретски сигурен дека интеракцијата со https://www.example.com/ е еквивалентна на интеракцијата со субјектот во контакт со е-пошта адресата наведена во јавниот регистер под "example.com ", иако оваа е-пошта адреса не може да биде прикажана никаде на мрежното место. Понатаму, односот помеѓу купувачот на уверението, операторот на мрежното место и генераторот на содржина на мрежното место може да биде блед и не е загарантиран. Во најдобар случај, уверението гарантира уникатност на мрежното место, под услов мрежното место сам по себе не е компромитиран (хакиран).

Напредна валидација

уреди

Услужниците за уверение нудат уверенија со "поголема безбедност" кои бараат дополнителни безбедносни проверки и затоа побаруваат многу повисоки надоместоци. Ова се нарекува напредна валидација на уверение. Овие безбедносни проверки ги поврзуваат сопственикот на името на доменот со сопственикот на легалниот ентитет. (Овие проверки може да вклучат презентација на сметки, пасоши, итн) Разликата меѓу овие повисоки безбедносни уверенија и обичните уверенија е тоа дека URL барот на прелистувачот се менува во различна боја, обично во зелена. Ова подобрување на безбедноста претпоставува дека корисниците ги знаат значењата на боите и дека би одбрале да се движат надвор од мрежното место, ако бојата на кодот не е пропорционална со целта на мрежното место. Да биде појасно, за https:// мрежно место, разликата меѓу тоа да нема уверение, и има обичен уверение е дека прелистувачот ќе одбие да пристапи на ова мрежно место без потврдува со корисникот. За споредба, разликата меѓу обичниот уверение и подобрената валидација е само промена во бојата.

Слаби страни

уреди

прелистувачот нема да даде предупредување до корисникот ако мрежното место одеднаш претставува различен уверение, дури и ако тој уверение има помал број на клучните битови, дури и ако во него нема напредна валидација, дури и ако има различни услуги, па дури и ако претходниот уверение сè уште трае. Онаму каде што услугите за уверение се во надлежност на владите, владата може да ја има слободата да му нареди на услужникот за услуги да генерирa уверение, на пример за целите на спроведување на законот. Услужниците на услуги за уверенија, исто така имаат слобода да генерираат уверение. Сите пребарувачи доаѓаат со голема вграден список на доверливи уверенија, од кои многу се контролирани од непознати организации. Секоја од овие организации е слободна за издавање на уверението за било кое мрежно место и имаат гаранција дека сите пребарувачи ќе го прифатат.

Списокот на вградените уверенија не е исто така, фиксна: корисниците (и до одреден степен апликациите) може да ја прошират листата за посебни намени како на пример за интранет на компанијата. Оној кој е во можност да се вметне привремено доверлив уверение во списокот на доверливи уверенија на прелистувачот ќе имаат слобода да се генерираат уверение со гаранција дека прелистувач ќе го прифати како автентичен. Единствениот начин да се спознае дали е лажен е внимателно да врши увид на патеката на уверението.

Корисност наспроти небезбедни мрежни места

уреди

И покрај ограничувањата што се опишани погоре, SSL автентицираните уверенија се сметаат за задолжителни од страна на сите безбедносни упатства кога мрежното место содржи доверливи информации или врши трансакции. Тоа е така затоа што, во пракса и покрај сериозните недостатоци што се опишани погоре, мрежни места обезбедени со дигитални уверенија се сè уште посигурни од необезбедените http:// мрежни места.

Поврзано

уреди

Наводи

уреди
  1. Ran Canetti: Universally Composable Signature, Certification, and Authentication. CSFW 2004, http://eprint.iacr.org/2003/239
  2. „OpenSSL: Documentation ca(1)“. Архивирано од изворникот на 2012-01-18. Посетено на 2012-01-18.
  3. VeriSign Class definitions
  4. „Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures“. Official Journal L 013 , 19/01/2000 P. 0012 - 0020. Annex II. Посетено на 2010-02-17.

Надворешни врски

уреди
  • RFC 5280 Интернет X.509 инфраструктура на дигитален уверение и профил на список на поништени уверенија (CRL)