Сертификаты открытых ключей

Сертификатом открытого ключа называют набор данных, удостоверяющих подлинность открытого ключа. Сертифицированный ключ, хранимый в базе данных открытых ключей, содержит не только сам открытый ключ, но и идентификационную информацию его владельца - имя, адрес проживания и некоторую другую. Кроме того, ключ должен быть подписан доверенным лицом или организацией, обычно называемой бюро сертификации (СА - Certification Authority). Бюро СА подписывает как сам ключ, так и информацию об его владельце, тем самым заверяя, что идентификация лица, предъявившего сертификат, подлинна и открытый ключ принадлежит именно этому лицу. Любой пользователь сертифицированного ключа перед его применением может проверить подлинность подписи бюро СА.

При организации инфраструктуры PKI для криптосистем с сертифицированными ключами следует решить следующие вопросы.

• Выбрать лицо, уполномоченное выдавать сертификаты, и определиться, кому их выдавать. Ясно, что сертификаты могут выдавать только лица, действительно вызывающие доверие, и нужен какой-то механизм фильтрации подозрительных сертификатов. Один из способов решения такой задачи - создание цепочек или деревьев передачи доверия, например, такого типа: одно центральное бюро СА сертифицирует открытые ключи других доверенных бюро СА, которые сертифицируют бюро СА организации, а бюро СА организации сертифицирует открытые ключи своих работников.

• Определить уровень доверия к каждому бюро СА.

• Установить процедуру выдачи сертификата бюро СА. В идеальном случае, прежде чем бюро СА выдаст кому-либо сертификат, этому лицу придется пройти процедуру идентификации. Кроме того, для защиты от компрометированных ключей важно использовать какие-то метки времени или признаки срока действия сертификата.

• Ограничить длину цепочки выдачи сертификатов.

• Очень важно, чтобы бюро СА хранило список недостоверных сертификатов, а пользователи регулярно сверялись бы с этим списком.

• Должно быть обеспечено хранение нескольких сертификатов одного и того же лица, соответствующих нескольким открытым ключам. Эти ключи могут иметь различное предназначение и длину, поэтому их хранение должно быть обеспечено с различной степенью надежности.

Операционная система Windows 2000 версий Server и Advanced Server обеспечивает средства организации инфраструктуры PKI для корпоративных сетей. Это большое достижение, поскольку в прошлом операционные системы Windows NT поддерживали устаревшие версии сервера сертификации и фактически могли использовать сертификаты только в браузерах Интернета для проверки подлинности посещаемых Web-узлов. Система Windows 2000 Professional также позволяет использовать сертификаты, основанные на технологиях Web, и вдобавок поставляется с набором средств для управления всеми общедоступными сертификатами.

Операционная система Windows 2000 Professional поддерживает сертификаты X.509v3 (версия 3), рекомендованные организацией ITU-T (International Telecommunications Union - Международный телекоммуникационный союз) в качестве стандарта. Сертификаты X.509v3 содержат сведения о владельце сертификата - его имени, открытом ключе и алгоритме шифрования, а также сведения о самом бюро СА, выдавшем сертификат. В компьютере Windows 2000 сертификаты хранятся в специальном хранилище, представляющем собой базу данных, каждая запись которой соответствует сертификату. Для управления сертификатами в системе Windows 2000 можно использовать диспетчер сертификатов, или же для этого можно воспользоваться оснасткой Сертификаты (Certificates) консоли ММС.