Использование ПСКЗИ ШИПКА для работы с самоподписанными сертификатами

Сертификат открытого ключа (Public-Key Certificate, PKC) представляет собой защищенный от постороннего вмешательства набор данных, который свидетельствует о связи этого открытого ключа с определенным пользователем. Другими словами, цифровой сертификат выступает в роли паспорта, в котором персональные данные конечного пользователя связываются с его открытым ключом при помощи ЭЦП удостоверяющего центра (Certificate Authority, CA). Подпись CA гарантирует:

• Соотнесенность сведениий, содержащихся в сертификате, с пользователем;

• Целостность цифрового сертификата. (попытка вмешательства в структуру или данные сертификата нарушают его целостность, соответственно, если подтверждена целостность, то изменений каких-либо данных в сертификате, в том числе и подмены открытого ключа - не было).

Цифровые сертификаты широко используются в системе управления открытыми ключами (Public-Key Infrastructure, PKI), так как позволяют пользователям обмениваться открытыми ключами уже непосредственно друг с другом, фактически без участия третьей стороны.

Применение цифровых сертификатов в системе PKI позволяет упростить процесс работы с ключевой информацией. При обмене зашифрованными данными сессионный ключ просто зашифровывается на открытом ключе получателя сообщения и подписывается  на открытом ключе отправителя.

Система работы с сертификатами, подписанными удостоверяющим центром, весьма удобна для корпоративных пользователей. При обмене деловой информацией необходима уверенность как в ее источнике, так и в ее получателе. Для этого существует центр сертификации, который несет ответственность за аутентичность своих конечных пользователей.

Однако для группы пользователей, которые хотят вести защищенный обмен данными друг с другом в личных целях, генерация и использование сертификатов, выписанных CA, может вызвать ряд неудобств. Во-первых, услуги удостоверяющего центра являются платными. Во-вторых, необходимо доверие к самому CA, как к независимой и беспристрастной части системы PKI. В-третьих, в случае сбоя программного обеспечения CA или его некорректной работы обмен данными между пользователями может быть нарушен.

В этом случае гораздо удобнее использовать самоподписанные сертификаты. При этом  производится самовыдача сертификата, то есть сертификат формируется самим пользователем и подписывается на своем собственном закрытом ключе, что позволяет решить все вышеперечисленные проблемы: создание сертификата не требует финансовых затрат и исключает участие удостоверяющего центра в дальнейшей работе пользователей.

Но из-за отсутствия третьей стороны необходимо обеспечить особые условия хранения и передачи такого сертификата. Генерация самоподписанного сертификата с помощью программного обеспечения ПСКЗИ ШИПКА позволяет не только ключевую пару, но и сам сертификат сохранить непосредственно на устройстве. При этом пользователи смогут обменяться своими сертификатами, даже не передавая их по сети, а восстановив контекст сертификата с устройства на машине другого пользователя.

Специальное программное обеспечение ПСКЗИ ШИПКА позволяет создавать самоподписанные сертификаты как через интерфейс криптопровайдера, так и через интерфейс Cryptoki, определенный стандартом PKCS #11. При этом секретный ключ ключевой пары генерируется непосредственно в ПСКЗИ ШИПКА, где и хранится в защищенной памяти устройства.

Генерация сертификатов возможна с использованием следующих алгоритмов подписи:

• PKCS #1 v1.5 RSA с функцией хеширования MD5;

• PKCS #1 v1.5 RSA с функцией хеширования SHA-1;

• ГОСТ Р 34.10-94 с функцией хеширования ГОСТ Р 34.11-94;

• ГОСТ Р 34.10-2001 с функцией хеширования ГОСТ Р 34.11-94.

Таким образом, использование самоподписанных сертификатов позволяет организовать защищенный и аутентифицированный обмен данными между пользователями.

Авторы: Аршинова Н. А.; Счастный Д. Ю.

Дата публикации: 01.01.2007

Библиографическая ссылка: Аршинова Н. А., Счастный Д. Ю. Использование ПСКЗИ ШИПКА для работы с самоподписанными сертификатами // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 года, Новополоцк. Мн., 2007. С. 45–46.

---