Центр сертификации: различия между версиями

В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.

Для решения этой проблемы открытый ключ Алисы подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.

Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.

Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».

На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты также технически являются самозаверенными.

Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

• серийный номер сертификата;
• объектный идентификатор алгоритма электронной подписи;
• имя удостоверяющего центра;
• срок действия сертификата;
• имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
• открытые ключи владельца сертификата (ключей может быть несколько);
• объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
• электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.

Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.

Центр сертификации ключей имеет право:

• предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
• обслуживать сертификаты открытых ключей
• получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.

В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей^[1]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ, действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи^[2], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой, уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформления документов без участия гражданина^[3]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков^[4], причем, доказательства манипуляций УЦ с подписями были настолько настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры^[5]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами^[6], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова^[7]. Эксперты утверждали, что массовая фальсификация электронных подписей началась в 2016 году, производилась она путем повторного использования удостоверяющим центром электронной подписи клиента^[8]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную^[9], однако, доверие к российским УЦ было безвозвратно потеряно^[10].

• VeriSign
• Let's Encrypt

• Перечень центров сертификации по странам
• Удостоверяющие центры в каталоге ссылок Curlie (dmoz)
• Список корневых сертификатов, включенных в Firefox
• Обзор Удостоверяющих Центров

Для улучшения этой статьи желательно: Оформить статью по правилам. Найти и оформить в виде сносок ссылки на независимые авторитетные источники, подтверждающие написанное. После исправления проблемы исключите её из списка. Удалите шаблон, если устранены все недостатки.

1. ↑ «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» 2008-2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017
2. ↑ «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.
3. ↑ «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017
4. ↑ «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,
5. ↑ «ПФР будет работать по-новому после критики Счетной палаты» «Ведомости» от 28 июня 2017
6. ↑ «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» «РБК» от 27 июня 2017
7. ↑ «Выявлены массовые фальсификации при переводе пенсионных накоплений» «Ведомости» от 27 июня 2017
8. ↑ «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. «Однако в конце декабря эти электронные подписи клиентов использовались вторично», — констатирует эксперт».
9. ↑ «Минтруд решил осложнить перевод пенсионных накоплений» «Ведомости» от 16 января 2017
10. ↑ «НПФ решили проблему перехода» Газета «Коммерсантъ» №239 от 22.12.2017, стр. 10.