Верификация публичного ключа

Электронная цифровая подпись - ЭЦП - это блок информации, который добавляется к файлу данных автором (подписантом) и защищает файл от несанкционированной модификации, а также идентифицирует подписанта (владельца подписи).

Для функционирования ЭЦП используются 2 ключа:

• Личный ключ, который хранится у владельца (например, на дискете, устройстве Touch Memory, Smart-карте и т.п.)
• Публичній ключ, который обычно, публикуется в общедоступном или специализированном справочнике.

Для наложения ЭЦП используется секретный (личный) ключ, а для ее проверки - открытый (общеизвестный) публичный ключ.

Алгоритм работы системы построен таким образом, что имея доступ к открытому ключу невозможно восстановить секретный ключ или поставить цифровую подпись - ее можно только проверить.

Секретный (личный) ключ подписанта является полной личной собственностью подписанта и не передается каким-либо другим лицам в том числе и центру сертификации публичного ключа. Кто угодно может проверить цифровую подпись, используя только открытый публичный ключ.

Наложение электронной цифровой подписи (подписание) - это операция, которая осуществляется отправителем (подписантом) документа с использованием его секретного ключа. При выполнении этой операции на вход соответствующей программы подаются данные, которые необходимо подписать, и секретный ключ подписанта. Программа создает из данных с помощью секретного ключа уникальный блок данных фиксированного размера (собственно ЭЦП), который может быть действительным только для этого секретного ключа и именно для этих входных данных. То есть, ЭЦП - это своего рода "цифровой отпечаток секретного ключа и документа".

В дальнейшем ЭЦП, как правило, добавляется к исходному документу (или размещается в отдельном поле документа) и такая комбинация данных (документ + ЭЦП) создает защищенный электронный документ.

Проверка электронной цифровой подписи - это операция, которая выполняется получателем защищенного электронного документа с использованием открытого ключа подписанта (отправителя). Для выполнения этой операции необходимо получить открытый ключ отправителя (например, из справочника) и защищенного документа (то есть данных документа и данных ЭЦП). Соответствующий программный модуль проверяет, действительно ли цифровая подпись соответствует документу и открытому ключу. Если в документ или в открытый ключ внесены какие-то изменения, проверка закончится с негативным результатом.

Для полноценного функционирования систем ЭЦП необходимо обеспечить доступ получателя к достоверной копии открытого ключа отправителя (подписанта) и возможность проверить, что эта копия открытого ключа принадлежит именно этому подписанту. Для выполнения этого создаются специальные защищенные справочники ключей, которые ведутся специальными учреждениями - центрами сертификации ключей.

Центры сертификации ключей проверяют данные владельца открытого ключа и выдают защищенные электронные документы специального образца - сертификаты открытых ключей, в которых содержится открытый ключ и проверенная центром сертификации информация о владельце ключа. Сертификат открытого ключа подписывается электронной цифровой подписью центра сертификации ключей. Таким образом, достаточно получить по достоверным каналам лишь один электронный документ - сертификат самого центра сертификации ключей, чтоб иметь возможность проверить достоверность любого сертификата, который выдан этим центром сертификации ключей.

Генерация секретного и открытого ключей ЭЦП - начальная процедура, которая выполняется пользователем до выполнения процедуры сертификации открытого ключа. Генерацию выполняет специализированное программное обеспечение - генератор ключей

Для выполнения сертификации открытого ключа в центр сертификации передается:

• Заявка на сертификацию открытого ключа, CSR которая содержит открытый ключ и информацию о владельце секретного ключа.
• Комплект документов, которые удостоверяют личность владельца ключа (для должностных ключей юридических лиц дополнительно подаются документы, которые удостоверяют правомочность владельца ключа действовать от имени юридического лица).

Правила сертификации - документ, в котором описаны индивидуальные для каждого центра сертификации правила, по которым проверяются сведения, которые находятся в сертификате. Не все центры сертификации ключей действуют по одинаковым правилам и требованиям при проверке документов, которые устанавливают личность владельца ключа (эти правила также называются "политикой сертификации").

Количество проверок и их тщательность может быть разной в разных центрах сертификации ключей. Значительное количество центров сертификации используют несколько политик сертификации одновременно, то есть издают сертификаты разных уровней доверия (эти уровни доверия иногда называются "классами сертификатов"). Существование разных классов сертификатов обусловлено разницей в их стоимости Больший уровень доверия требует больше проверок, больше проверок - больше работы, больше ответственности

Правила сертификации, которые использует центр сертификации, и класс сертификата, безусловно, непосредственно влияют на уровень доверия к сертификатам ключей, которые выданы такими центрами сертификации.

Доверие к сертификату открытого ключа зависит от того, кем, каким центром сертификации сертифицирован и по каким правилам (политика и класс сертификата).

В общем случае политика сертификации и перечень классов сертификатов индивидуальны для каждого центра сертификации. Для стандартизации в этой сфере во многих странах введено законодательное регулирование. В Украине введено понятие "Усиленный сертификат ключа" - то есть сертификат, выданный с выполнением определенных стандартизированных и утверждённых законом требований и правил (в том числе - правил проведения процедуры удостоверения личности владельца ключа). Для того чтобы иметь право выдавать сертификаты такого образца, центры сертификации должны пройти процедуру аккредитации (удостоверения соответствия требованиям законодательства). Аккредитованный центр сертификации имеет право издавать усиленные сертификаты ключей. Перечень аккредитованных центров сертификации ведется Центральным удостоверяющим органом.

Существует четыре класса цифровых сертификатов, указывающих на степень верификации владельца.

• Сертификат класса 1 - минимальная проверка данных владельца, обычно достаточно подтверждение права на домен
• Сертификат класса 2 - проверяются регистрационные документы и производится контрольный звонок по телефону
• Сертификат класса 3 - проверяются регистрационные документы и производится контрольный звонок по телефону + дополнительные способы верификации
• Сертификат класса 4 - соответствующие верификационные требования еще не выработаны окончательно. Чем выше класс сертификата, тем выше степень верификации. Стоимость сертификата возрастает с классом сертификата (кроме прочего, из-за дополнительных усилий, необходимых для проверки личных данных пользователя). Благодаря строгой проверке данных владельцев сертификатов высших классов, такие сертификаты могут считаться надежным подтверждением личности владельца.