Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 218
Текст из файла (страница 218)
Сертификат является аналогом пропуска и выдается по запросам специальными сертифицируюшими центрами при выполнении определенных условий. Сертификат представляет собой электронную форма е катеров содержится следующая информация: О открытый ключ владельца данного сертификата; 0 сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименование органиэации, в которой он работает и т. пз О наименование сертифицирующей организации, выдавшей данный сертификат; О электронная подпись сертифицирующед организации, то есть зашифрованные закрытым ключом этол органиэации данные, содержащиеся в сертификате. Использование сертификатов основано на предположении, что сертифицируюших организаций немного и их открытые ключи широко доступны, например, из публикаций в журналах.
Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах: открытой (то есть такой, в которой он получил его в сертифицируюшей организации) и зашифрованной с применением своего закрытого ключа (рис. 24А7). Сторона, проводящая аутентификацию, берет из незашифрованного сертификата открытый ключ пользователя и расшифровывает с его помощью зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает, что предъявитель действительно является владельцем закрытого ключа, соответствующего указанному открытому.
Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификрг С тем же именем пользователя и его открытым ключом, значит, он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему. Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого Ь сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельцев к той или иной категории пользователей. Эта категория назначается сертифицирующей организацией в зависимо- ВВБ Аутентификация, авторизации, аудит сти от условий, на которых выдается сертификат.
Например, организация, поставляющая через Интернет на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, тогда веб-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории. Рис. 2Я.17. Аутентификация пользователей на основе сертификатов Глава 24. Сетевая безопасность Подчеркнем тесную связь открытых ключей с сертификатами. Сертификат является удостоверением не только личности, но и принадлежности открытого ключа.
Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его владельцем. Это предотвращает угрозу подмены открытого ключа. Если некоторый абонент А получает по сети сертификат от абонента Б, то он может быть уверен, что открытый ключ, содержащийся в сертификате, гарантированно принадлежит абоненту Б, адрес и другие сведения о котором содержатся в этом сертификате. Это значит, что абонент А может без опасений использовать открытый ключ абонента Б для секретных посланий в адрес последнего.
При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицируюших органиэаций. Может также понадобиться некоторый механизм отображений категорий владельцев сертификатов на традиционные группы пользователей для того, чтобы можно было в неизменном виде задействовать механизмы управления избирательным доступом большинства операционных систем или приложений. Сертифицирующие центры Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам, роль аутентифицируюшей стороны играют при этом информационные серверы корпоративной сети или Интернета.
В то же время и сама процедура получения сертификата включает этап аутентификации, когда аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на съемном носителе лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помешает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу.
После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети. Практически важным является вопрос о том, кто имеет право выполнять функции сертифицирующей организации. Во-первых, задачу обеспечения своих сотрудников сертификатами может взять на себя само предприятие. В этом случае упрощается процедура первичной аутентификации при выдаче сертификата. Предприятия достаточно осведомлены о своих сотрудниках, чтобы брать на себя задачу подтверждения их личности. Для автоматизации процесса генерации, выдачи и обслуживания сертификатов предприятия могут использовать готовые программные продукты, например, компания 1чегзсаре Сопппппкаеопз выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих сертификатов.
Во-вторых, этн функции могут выполнять независимые центры по выдаче сертификатов, работающие на коммерческой основе, например сертифицирующий центр компании Чег1зщп. Сертификаты компании Чепзгдп выполнены в соответствии с международным стандартом ХБ09 и используются во многих продуктах защиты данных, в том числе в популярном протоколе защищенного канала ЯЯ Любой желающий может обратиться с запросом на получение сертификата на веб-сервер этой компании.
Сервер Чепзщп предлагает несколько типов сертификатов, отличающихся уровнем полномочий, которые получает владелец сертификата. ввт Аутентификация, авторизации, аудит З Сертификаты каасса 1 предоставляют пользователю самый низкий уровень полномочий. Они могут применяться при отправке и получении шифрованной электронной почты через Интернет. Чтобы получить сертификат этого класса, пользователь должен сообщить серверу Чепяяп свой адрес электронной почты или свое уникальное имя. 0 Сертификаты класса 2 дают возможность его владельцу пользоваться внутрикорпоративной электронной почтой и принимать участие в подписных интерактивных службах.
Чтобы получить сертификат этого более высокого уровня, пользователь должен организовать подтверждение своей личности сторонним лицом, например своим работодателем. Такой сертификат с информацией от работодателя может эффективно применяться при деловой переписке. 0 Сертификаты класса 3 предоставляют владельцу все те возможности, которые имеет обладатель сертификата класса 2, плюс возможность участия в электронных банковских операциях, электронных сделках по покупке товаров и некоторые другие возможности.
Для доказательства своей аутентичности соискатель сертификата должен явиться лично и предоставить подтверждающие документы. О Сертификаты класса 4 используются при выполнении крупных финансовых операций. Поскольку такой сертификат наделяет владельца самым высоким уровнем доверия, сертифицирующий центр Чепз1яп проводит тщательное изучение частного лица или организации, запрашивающей сертификат.
Механизм получения пользователем сертификата хорошо автоматизируется в сети в модели клиент-сервер, когда браузер исполняет роль клиента, а в сертифицирующей организации установлен специальный сервер выдачи сертификатов. Браузер генерирует для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер ставит свою электронную подпись, зашифровывая сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертификата, требующая участия оператора сервера сертификатов.
Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации — все случаи жизни предусмотреть и автоматизировать нельзя. После получения сертификата браузер сохраняет его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают такой процесс. В настоящее время существует большое количество протоколов и продуктов, использующих сертификаты.
Например, компания М1сгозо1т реализовала поддержку сертификатов и в своем браузере 1пгегпег Ехр1огег, и в сервере 1пгегпег 1п1оппаг1оп Ьегуег, разработала собственный сервер сертификатов, а также продукты, которые позволяют хранить сертификаты пользователя, его закрытые ключи и пароли защищенным образом. ИнФраструктура с открытыми ключами Несмотря на активное использование технологии цифровых сертификатов во многих системах безопасности, эта технология еще не решила целый ряд серьезных проблем. Это, прежде всего, поддержание базы данных о выпущенных сертификатах. Сертификат выдается не навсегда, а на некоторый вполне определенный срок.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
