Електронен цифров подпис за манекени какво да ядете и как да не се задавите

В предишните части грубо разбрахме какво точно ще ядем. Сега, накрая, нека да преминем директно към избора на ястие по наш вкус. Тук ще разгледаме целта на използването на цифров подпис, към кой лагер да се присъединим и какви са характеристиките на използването на всяка от опциите, а също така ще засегнем правната основа на използването на цифрови подписи. Успоредно с това ще разгледаме проблемите, които възникват в процеса, и ще задълбочим знанията за работата на механизма, с който разполагаме в момента.

Нека все още разбирате, че просто се нуждаете от цифров подпис. И ви е необходим, разбира се, за да защитите информацията си. Сега нека разгледаме ситуациите, при които е възможно да се приложи цифров подпис и криптиране по ред на сложност.

Нека започнем с относително проста опция: вие сте частно лице и искате да защитите информацията, която изпращате чрез електронни източници, от заместване, а може би и от четене от неоторизирани хора. Изпращате информация на същия обикновен човек, с когото винаги можете да се споразумеете как ще защитите информацията си. Какво ви трябва за това?

Нека започнем със S/MIME. Ще направим това, първо, защото този формат, както вече казах, е много по-широко разпространен и най-важното: той се поддържа на ниво Windows (а Windows, каквото и да се каже, е най-често срещаната операционна система), както и от много програми, които работят под Windows. Е, и второ, от правна гледна точка този формат позволява (в рамките на нашата държава, разбира се) много повече.

подпис

Фигура: един. Страница на Центъра за доверие на Outlook 2007

Но обратно към нашите нужди. Къде мога да получа тази програма, доставчик на крипто? За щастие операционната система Windows не само поддържа самия формат, но също така съдържа набор от доставчици на криптиране, които идват с всяка версия на системата абсолютно безплатно, тоест безплатно. Това означава, че най-очевидното решение за тази ситуация е да ги използвате.

И така, разбрахме доставчика на криптиране, но какво да правим със сертификата? В предишната част казах, че в процеса на издаване на сертификати участва определена трета страна - сертификационен център, който издава директно сертификати и удостоверява тяхното съдържание и уместност. Ще се спра по-подробно на този въпрос, тъй като тези знания ще ни трябват в бъдеще.

Потвърждението, че този конкретен потребителски сертификат е правилен и че съдържанието в него не е променено, е същият цифров подпис, само сертифициращият орган вече е подписан.

Сертифициращият орган, подобно на потребителите, има свой собствен сертификат. И с негова помощ той подписва издадените от него удостоверения. Тази процедура, първо, предпазва сертификатите, издадени от сертифициращия орган, от промяна (както казах по-горе), и второ, тя ясно показва кой сертифициращ орган е издал този сертификат. В резултат на това лош човек, разбира се, може да направи пълно копие на вашия сертификат, с вашето име, фамилия, дори всякаква допълнителна информация, но само подправянето на цифровия подпис на сертифициращия орган, без да има частния му ключ, ще бъде почти невъзможна задача за него и следователно разпознаването на този фалшив ще бъде не само лесно, но и много лесно.

Сертификатът на самия център за сертифициране, по приятелски начин, също трябва да бъде защитен. И това означава, че е подписан. От кого? По-високостоящ сертификационен център. А това от своя страна е още по-превъзходно. И такава верига може да бъде много дълга. Как свършва?

И завършва със самоподписан сертификат на сертифициращия орган. Такъв сертификат се подписва с частен ключ, свързан с него. По аналогия е като удостоверение за длъжността и заплатата на изпълнителния директор. "С тази справка Иванов И. И., генерален директор на LLC "Глухарче" удостоверява, че Иванов И.И. заема длъжността главен изпълнителен директор в тази организация и получава заплата от ####### рубли". За да се доверите на този сертификат, трябва да се доверите на самата компания Dandelion LLC и това убеждение не се поддържа от никоя трета страна.

Така е и с root сертификатите (т.е. сертификатите на сертифициращите органи). Самоподписаните сертификати на тези CA, на които имате доверие, трябва да се съхраняват в специално хранилище в системата, наречено Trusted Root Certification Authority. Но преди да стигнете там, трябва някак да ги получите. И това е най-слабото звено в системата. Самоподписаният сертификат не може да бъде фалшифициран, точно както потребителския сертификат, но ще бъде чудесно да го замените по време на предаването. Това означава, че предаването трябва да се извършва чрез канал, защитен от подправяне.

За да избегне, ако е възможно, такива трудности, Microsoft избра няколко CA и включи техните сертификати директно в инсталацията на Windows (Thawte, VeriSign и други). Вече ги имате на компютъра си и не е необходимо да ги вземате от никъде. Това означава, че можете да ги замените само ако имате троянски кон на компютъра си (или лош човек трябва да има администраторски достъп до вашия компютър) и да се говори за използване на цифров подпис в този случай е донякъде безсмислено. В допълнение, тези сертифициращи органи са широко известни и се използват от много хора и простото заместване на техните сертификати ще доведе до много грешки в работата, да речем, на сайтове, чиито сертификати се издават от тези сертифициращи органи, които от своя страна бързо ще подскаже, че тук нещо не е чисто.