Історія криптографії
Матеріал з Вікіпедії — вільної енциклопедії.
Ширф Цезаря Юлій Цезар не довіряв гінцям. Тому, відправляючи листа своїм генералам, він замінював кожну букву A у своєму повідомленні на D, кожну B на E, і т.д. Тільки той , хто знав правило "зсуву на 3" міг розшифрувати його послання.
Шифрування і розшифрування.
Інформація, що може бути прочитана, осмислена і зрозуміла без яких-небудь спеціальних мір , називається відкритим текстом (plaіntext, clear text). Метод перекручування відкритого тексту таким чином, щоб сховати його суть, називається шифруванням (encryptіon або encіpherіng). Шифрування відкритого тексту приводить до його перетворення в незрозумілу абракадабру, іменовану шифртекстом (cіphertext). Шифрування дозволяє сховати інформацію від тих, для кого вона не призначається, незважаючи на те, що вони можуть бачити сам шифртекст. Протилежний процес по звертанню шифртекста в його вихідний вид називається розшифруванням (decryptіon або decіpherіng) . Малюнок 1 ілюструє це:
[ред.] Стійка криптографія
"У світі розрізняють два типи критографії: криптографія, що перешкодить вашій молодшій сестрі читати ваші файли, і криптографія, що перешкодить читати ваші файли урядам великих країн. Ми будемо розглядати криптографію другого типу."
Криптографія може бути стійкою, а може бути і слабкою, як описано в приведеному прикладі. Криптографічна стійкість виміряється тим, скільки знадобиться часу і ресурсів, щоб із шифртекста відновити вихідний відкритий текст. Результатом стійкої криптографії є шифртекст, що винятково складно зламати без володіння визначеними інструментами по дешифруванню. Але наскільки складно? Використовуючи весь обчислювальний потенціал сучасної цивілізації - навіть мільярд комп'ютерів, що виконують мільярд операцій у секунду - неможливо дешифрувати результат стійкої криптографії до кінця існування Всесвіту. Хтось може вирішити, що стійка криптографія зможе устояти навіть проти самого серйозного криптоаналітика. Але хто про це говорить? Ніким не доведене, що краще шифрування, доступне сьогодні, зможе вистояти проти обчислювальних можливостей комп'ютерів, доступних завтра. Проте, стійка криптографія, задіяна в PGP, - краща на сьогоднішній день.
[ред.] Дія криптографії
Криптографічний алгоритм, або шифр, - це математична формула, що описує процеси шифрування і розшифрування. Щоб зашифрувати відкритий текст, криптоалгоритм працює в сполученні з ключем - словом, числом або фразою. Те саме повідомлення одним алгоритмом, але різними ключами буде перетворюватися в різний шифртекст. Захищеність шифртекста цілком залежить від двох речей: стійкості криптоалгоритму і таємності ключа. Криптоалгоритм плюс усілякі ключі і протоколи, що приводять їх у дію, складають криптосистему. PGP - це криптосистема. У традиційній криптографії, також називаної шифруванням таємним , або симетричним, той самий ключ використовується як для шифрування, так і для розшифрування даних. Data Encryptіon Standart (DES) - приклад симетричного алгоритму, що широко застосовувався на Заході з 70-х років у банківській і комерційних сферах. В даний час його переміняє Advanced Encryptіon Standard (AES). Малюнок 2 ілюструє процес симетричного шифрування.
[ред.] Шифр Цезаря
Украй простий приклад симетричного шифрування - це підставний шифр. Підставний шифр заміняє кожну частину інформації іншою інформацією. Найчастіше це досягається зсувом букв алфавіту. Пари прикладів - це Секретне кільце-декодер капітана Міднайта, що могло бути у вас у дитинстві, і шифр Юлія Цезаря. В обох випадках алгоритм полягає в тому, щоб зрушити алфавіт, а ключ - це число букв , на яке зроблений зсув. Допустимо , якщо ми вирішимо зашифрувати слово "SECRET", використовуючи ключ Цезаря, рівний 3, то зрушимо латинський алфавіт так, щоб він починався з третьої букви (D). Отже, беручи вихідний варіант ABCDEFGHІJKLMNOPQRSTUVWXYZ, і зміщаючи усі на 3, одержуємо DEFGHІJKLMNOPQRSTUVWXYZABC, де D=A, E=B, F=C, і т.д. Використовуючи цю схему, відкритий текст "SECRET" перетворюється в "VHFUHW". Щоб хтось міг відновити вихідний текст, ви повідомляєте йому, що ключ - 3. Очевидно, що по сьогоднішніх мірках це надзвичайно слабкий алгоритм, проте , навіть він допомагав Цезареві! І прекрасно демонструє, як діє симетричне шифрування.
[ред.] Симетричне шифрування і керування ключами
Симетричне шифрування має ряд переваг. Перше - швидкість криптографічних операцій. Воно особливо корисно для шифрування даних, що залишаються у вас. Однак, симетричне шифрування, використане саме по собі як засіб захисту коштовних даних, що пересилаються, може виявитися досить витратним просто через складність передачі таємного ключа. Згадаєте персонажа з вашого улюбленого шпигунського фільму: людина з запечатаним кейсом, пристебнутим наручниками до руки. Як ви вважаєте , що в цьому кейсі? Навряд чи в ньому коди запуску ракет / формула хімічної зброї / плани вторгнення. Імовірніше, там - ключ, що розшифрує секретну інформацію. Для встановлення криптографічного зв'язку за допомогою симетричного алгоритму, відправникові й одержувачеві потрібно попередньо погодити ключ і тримати його в таємниці. Якщо вони знаходяться в географічно вилучених місцях, то повинні вдатися до допомоги довіреного посередника, наприклад, надійного кур'єра, щоб уникнути компрометації ключа в ході транспортування. Зловмисник, що перехопив ключ на шляху, зможе пізніше читати, змінювати і підробляти будь-яку інформацію, зашифровану або завірену цим ключем. Глобальна проблема симетричних шифрів (від Кільця-декодера капітана Міднайта до DES і AES) складається в складності керування ключами: як ви доставите ключ одержувачеві без ризику, що його перехоплять?
[ред.] PGP
PGP поєднує в собі кращі сторони симетричної криптографії і криптографії з відкритим ключем. PGP - це гібридна криптосистема. Коли користувач зашифровує дані за допомогою PGP, програма для початку їх стискає. Стиск скорочує час модемної передачі і заощаджує дисковий простір, а також, що більш важливо, підвищує криптографічну стійкість. Більшість криптоаналітичних техніків засновано на статистичному аналізі шифртекста в пошуках ознак відкритого тексту. Стиск зменшує число таких ознак, що істотно підсилює опірність криптоаналізу. Потім, PGP створює сеансовий ключ, тобто одноразовий симетричний ключ, застосовуваний тільки для однієї операції. Цей сеансовий ключ являє собою псевдовипадкове число, згенероване від випадкових рухів мишки і натискання клавіш. Сеансовий ключ працює на основі дуже надійного, швидкого симетричного алгоритму, яким PGP зашифровує стиснуте повідомлення; у результаті виходить шифртекст. Як тільки дані зашифровані, сеансовий ключ також шифрується, але уже відкритим ключем одержувача. Цей зашифрований відкритим ключем сеансовий ключ прикріплюється до шифртексту і передається разом з ним одержувачеві.
Розшифрування відбувається в зворотному порядку. PGP одержувача використовує його закритий ключ для витягу сеансового ключа з повідомлення, яким шифртекст вихідного послання відновлюється у відкритий текст.
Таким чином, комбінація цих двох криптографічних методів поєднує зручність шифрування відкритим ключем зі швидкістю роботи симетричного алгоритму. Симетричне шифрування в тисячі разів швидше асиметричного. Шифрування відкритим ключем, у свою чергу, надає просте рішення проблеми керування ключами і передачі даних. При використовувані їх спільно, швидкість виконання і керування ключами взаємно доповнюються і поліпшуються без якого-небудь збитку безпеки.
[ред.] Ключі
Ключ - це деяка величина , що, працюючи в сполученні з криптоалгоритмом, робить визначений шифртекст. Ключі, як правило, - це дуже великі числа. Розмір ключа виміряється в бітах; число, що представляє 2048-бітовий ключ, скажено велике . В асиметричній криптографії, чим більший ключ, тим захищеніший отриманий шифртекст. Однак, розмір асиметричного ключа і розмір симетричного таємного ключа, абсолютно непорівнянні. Симетричний 80-бітовий ключ еквівалентний у стійкості 1024-бітовому відкритому ключеві. Симетричний 128-бітовий ключ приблизно дорівнює 3000-бітовому відкритому. Знову ж, більший ключ - вища надійність, але механізми, що лежать в основі кожного з типів криптографії зовсім різні, і порівнювати їхні ключі в абсолютних величинах неприпустимо. Незважаючи на те, що ключова пара математично зв'язана, практично неможливо з відкритого ключа обчислити закритий; у той же час, обчислення закритого ключа завжди залишається можливим , якщо мати в розпорядженні достатній час і обчислювальні потужності. От чому критично важливо створювати ключ вірної довжини: досить великий , щоб був надійним , але досить малий , щоб залишався швидким у роботі. Для цього подумайте й оцініть, хто може спробувати "прочитати ваші файли", наскільки вони можуть бути таємні, скільки часу потрібно для їх розшифрування та якими ресурсами. Більш великі ключі будуть криптографічно захищені за більший проміжок часу. Якщо те, що ви хочете зашифрувати, повинно зберігатися в таємниці довгі-довгі роки, вам, можливо, варто скористатися дуже великим ключем. Хто знає, скільки буде потрібно часу, щоб розкрити ваш ключ, використовуючи завтрашні більш швидкі, більш ефективні комп'ютери? Були часи, коли 56-бітовий симетричний ключ DES вважався вкрай надійним. По сучасних представленнях 128-бітові симетричні ключі зовсім надійні і не піддані зломові, принаймні сьогодні, поки хтось не побудує функціонуючий квантовий суперкомп'ютер. 256-бітові ключі по оцінках криптологів не можуть бути зламані навіть теоретично і навіть на гіпотетичному квантовому комп'ютері. Саме з цієї причини алгоритм AES підтримує ключі довжиною 128 і 256 біт. Однак історія вчить нас тому , що всі ці запевняння впродовж десятиліть можуть виявитися порожньою балаканиною. PGP зберігає ключі в зашифрованому виді . Вони утримуються в двох файлах на твердому диску; один файл для відкритих ключів, іншої - для закритих. Ці файли називаються з’єднувальними (keyrіngs). Використовуючи PGP, Ви, час від часу, будете додавати відкриті ключі своєї кореспонденції на зв'язування відкритих. Ваші закриті ключі знаходяться на зв'язуванні закритих. Якщо ви втратите (видалите) зв'язування закритих ключів, то вже ніяким чином не зможете розшифрувати інформацію, зашифровану для ключів з цього зв'язування. Отже, збереження пари резервних копій цього файлу є необхідною.
[ред.] Цифрові підписи
Додаткова перевага від використання криптосистем з відкритим ключем полягає в тому, що вони надають можливість створення електронних цифрових підписів (ЕЦП). Цифровий підпис дозволяє одержувачеві повідомлення переконатися в автентичності джерела інформації (іншими словами, у тім , хто є автором інформації), а також перевірити, чи була інформація змінена (перекручена), поки знаходилася в шляху. Таким чином, цифровий підпис є засобом авторизації і контролю цілісності даних. Крім того, ЕЦП несе принцип незречення, що означає, що відправник не може відмовитися від факту свого авторства підписаної ним інформації. Ці можливості настільки ж важливі для криптографії, як і таємність. ЕЦП служить тієї ж мети , що печатка або власноручний автограф на паперовому листі . Однак внаслідок своєї цифрової природи ЕЦП перевершує ручний підпис і печатку в ряді дуже важливих аспектів. Цифровий підпис не тільки підтверджує особистість що підписала, але також допомагає визначити, чи був зміст підписаної інформації змінений. Власноручний підпис і печатка не мають подібну якість, крім того, їх набагато легше підробити. У той же час, ЕЦП аналогічна фізичної печатки в тім плані, що, як печатка може бути проставлена будь-якою людиною, що одержала в розпорядження печатку, так і цифровий підпис може бути згенерована ким завгодно з копією потрібного закритого ключа. Деякі люди використовують цифровий підпис набагато частіше ніж шифрування. Наприклад, ви можете не хвилюватися, якщо хтось довідається , що ви тільки що помістили $1000 на свій банківський рахунок, але ви повинні бути абсолютно упевнені, що робили транзакцію через банківського касира. Простий спосіб генерації цифрових підписів показаний на малюнку 6. Замість Шифрування інформації чужим відкритим ключем, ви шифруєте її своїм власним закритим . Якщо інформація може бути розшифрована вашим відкритим ключем, значить її джерелом є ви.
[ред.] Хеш-функція
Однак описана вище схема має ряд істотних недоліків . Вона вкрай повільна і робить занадто великий обсяг даних - щонайменше вдвічі більше обсягу вихідної інформації. Поліпшенням такої схеми стає введення в процес перетворення нового компонента - однобічної хеш-функції. Одностороня хеш-функція отримує ввід довільної довжини, називаний прообразом, - у даному випадку, повідомлення будь-якого розміру, хоч тисячі або мільйони біт - і генерує строго залежний від прообразу значення фіксованої довжини, допустимо, 160 біт. Хеш-функція гарантує, що якщо інформація буде будь-як змінена - навіть на один біт, - у результаті вийде зовсім інше хеш-значення. У процесі цифрового підпису PGP обробляє повідомлення криптографічно стійким однобічним хеш-алгоритмом. Ця операція приводить до генерації рядка обмеженої довжини, називаної дайджестом повідомлення (message dіgest). (Знову ж, будь-яка зміна прообразу приведе до абсолютно іншого дайджесту.) Потім PGP зашифровує отриманий дайджест закритим ключем відправника, створюючи "електронний підпис", і прикріплює її до прообразу. PGP передає ЕЦП разом з вихідним повідомленням. Після одержання повідомлення, адресат за допомогою PGP заново обчислює дайджест підписаних даних, розшифровує ЕЦП відкритим ключем відправника, тим самим звіряючи, відповідно, цілісність даних і їхнє джерело; якщо обчислений адресатом і отриманий з повідомленням дайджести збігаються, значить інформація після підписання не була змінена. PGP може як зашифрувати саме повідомлення, що підписується, так і не робити цього; підписання відкритого тексту без шифрування корисно в тому випадку, якщо хто-небудь з одержувачів не зацікавлений або не має можливості звірити підпис (допустимо , не має PGP). Якщо в механізмі формування ЕЦП застосовується стійка однобічна хеш-функція, немає ніякого способу взяти або підпис з одного документа і прикріпити неї до іншого, або ж будь-якимось чином змінити підписане повідомлення. Найменша зміна в підписаному документі буде виявлено в процесі звірення ЕЦП.
ЕЦП відіграють найважливішу роль у посвідченні і запевнянні ключів інших користувачів PGP.
[ред.] Цифрові сертифікати
Одна з головних проблем асиметричних криптосистем полягає в тому, що користувачі повинні постійно стежити, чи зашифровують вони повідомлення власними ключами своїх кореспондентів. У середовищі вільного обміну відкритими ключами через суспільні сервери-депозитарії атаки представляють собою серйозну потенційну загрозу. У цьому виді атак зловмисник підсуває користувачеві підроблений ключ з ім'ям передбачуваного адресата; дані зашифровуються підставним ключем, перехоплюються його власником-зловмисником, потрапляючи в чужі руки. У середовищі криптосистем з відкритим ключем критично важливо, щоб ви були абсолютно упевнені, що відкритий ключ, яким збираєтеся щось зашифрувати - не митецька імітація, а власність вашого кореспондента. Можна попросту шифрувати тільки тими ключами, що були передані вам їх власниками з рук у руки на дискетах. Але припустимо, що потрібно зв'язатися з людиною, що живе на іншому краї світу, з яким ви навіть незнайомі; як ви можете бути упевнені, що одержали його справжній ключ? Цифрові сертифікати ключів спрощують задачу визначення приналежності відкритих ключів передбачуваним власникам. Сертифікат це форма посвідчення. Інші види посвідчень включають ваші права водія, державний паспорт, свідоцтво про народження, і т.д. Кожне з них несе на собі деяку ідентифікуючу вас інформацію і визначений запис, що непідробляється, щоб хтось інший встановив вашу особистість . Деякі сертифікати, такі як паспорт, - самодостатнє підтвердження вашої особистості; буде досить неприємно, якщо хтось викраде його, щоб видати себе за вас. Цифровий сертифікат у своєму призначенні аналогічний фізичному. Цифровий сертифікат ключа - це інформація, прикріплена до відкритого ключа користувача, що допомагає іншим встановити, чи є ключ справжнім і вірним. Цифрові сертифікати потрібні для того, щоб унеможливити спробу видати ключ однієї людини за ключ іншого. Цифровий сертифікат складається з трьох компонентів:
- відкритого ключа, до якого він прикладений;
- даних, або записів сертифіката (зведення про особистості користувача, ім'я, електронна пошта і т.д., а також, у разі необхідності, вказати додаткові обмежуючі зведення : права доступу, робочі ліміти та інше);
- однієї або декількох цифрових підписів, "з’єднаних" ключем з сертифікатом.
Ціль ЕЦП на сертифікаті - указати, що зведення сертифіката були завірені довіреною третьою особою або організацією. У той же час цифровий підпис не підтверджує вірогідність сертифіката як цілого; вона є дорученням тільки того , що підписаний запис сертифіката (ідентифікуюча інформація) зв'язані з даним відкритим ключем.
Таким чином, сертифікат, звичайно, - це відкритий ключ із прикріпленими до нього однієї або декількома формами ІD плюс оцінка підтвердження від довіреної особи , "єднальна" ІD і відкритий ключ.
[ред.] Поширення сертифікатів
Сертифікати застосовуються, коли потрібно обмінятися з ким-небудь ключами. Невеликим групам людей, що бідує в захищеному зв'язку, не складе праці просто передати один одному дискети або відправити електронні листи, що містять копії їхніх ключів. Це - ручне поширення відкритих ключів, і воно ефективно тільки до визначеного етапу. Подальше - за межами можливостей даного методу, і тоді виникає необхідність розгортання системи, яка б забезпечувала достатню надійність і безпеку, надавала можливості збереження й обміну ключами, так що колеги, бізнеси-партнери або незнайомці змогли б відправляти один одному зашифровані повідомлення, якщо в тім виникне необхідність. Така система може реалізуватися у формі простого сховища-депозитарію, називаного сервером сертифікатів, або сервером-депозитарієм відкритих ключів, або мати більш складну і комплексну структуру, що припускає додаткові можливості адміністрування ключів, і називану інфраструктурою відкритих ключів (Publіc Key Іnfrastructure, PKІ).
[ред.] Сервери-депозитарії
Сервер-депозитарій, також називаний сервером сертифікатів, або сервером ключів, - це мережна база даних, що дозволяє користувачам залишати і витягати з неї цифрові сертифікати. Сервер ключів також може мати деякі функції адміністрування, що допомагають організації підтримувати свою політику безпеки. Наприклад, на збереження можуть залишатись тільки ключі, що задовольняють визначеним критеріям.
[ред.] Інфраструктури відкритих ключів (PKІ)
PKІ, як і простий сервер-депозитарій, має базу даних для збереження сертифікатів, але, у той же час, надає сервіси і протоколи по керуванню відкритими ключами. У них входять можливості випуску (видання), відкликання (анулювання) і системи довіри сертифікатів. Головною же особливістю PKІ є наявність компонентів, відомих як Центр сертифікації (Certіfіcatіon Authorіty, CA) і Центр реєстрації (Regіstratіon Authorіty, RA). Центр сертифікації (ЦС) видає цифрові сертифікати і підписує їх своїм закритим ключем. Через важливість своєї ролі, ЦС є головним компонентом інфраструктури PKІ. Використовуючи відкритий ключ ЦС, будь-який користувач, що бажає перевірити дійсність конкретного сертифіката, звіряє підпис Центра сертифікації і, отже, засвідчується в цілісності інформації, що утримується в сертифікаті, і, що більш важливо, у взаємозв’язку зведень сертифіката і відкритого ключа.
Як правило, Центром реєстрації (ЦР) називається система людей, механізмів і процесів, що служить цілям зарахування нових користувачів у структуру PKІ і подальшого адміністрування постійних користувачів системи. Також ЦР може робити "веттинг" - процедуру перевірки того, чи належить конкретний відкритий ключ передбачуваному власникові. ЦР - це людське співтовариство: особа , група, департамент, компанія або інша асоціація. З іншого боку, ЦС - звичайно, програма, що видає сертифікати своїм зареєстрованим користувачам. Існують і захищені від злому апаратні реалізації ЦС, споруджені з куленепробивних матеріалів і постачені "червоною кнопкою", що анулює в критичній ситуації усі видані ключі. Роль ЦР-ЦС аналогічна тієї , що виконує державний паспортний відділ: одні його співробітники перевіряють, потрібно чи видача паспорта (робота ЦР), а інші виготовляють сам документ і передають його власникові (робота ЦС). Наявність ЦР для ЦС не обов'язково, але воно забезпечує поділ функцій, що іноді необхідно. Формат сертифікатів Цифровий сертифікат - це набір ідентифікуючих зведень , зв'язаних з відкритим ключем і підписаних довіреною третьою особою , щоб довести їхня дійсність і взаємозв'язку. Сертифікат може бути представлений безліччю різних форматів. PGP підтримує два формати сертифікатів:
• Сертифікати OpenPGP (частіше називані просто ключами PGP) • Сертифікати X.509
Формат сертифікату PGP Сертифікат PGP містить :
• Відкритий ключ власника сертифіката - відкрита частина ключової пари і її алгоритм: RSA v4, RSA Legacy v3, DH або DSA. • Зведення про власника сертифіката - інформація, що ідентифікує особистість користувача: його ім'я, адреса електронної пошти, номер ІCQ, фотографія і т.д. • ЕЦП власника сертифіката - підпис ключової пари, зв'язаної із сертифікатом (т.зв. автопідпис). • Період дії сертифіката - дата початку дії сертифіката і дата закінчення його дії; указує на те, коли сертифікат стане недійсним (аналогічно терміну дії прав водія). Якщо ключова пара містить додаткові підключи шифрування, то тут буде зазначений період дії кожного з них . • Кращий алгоритм шифрування - указує на те, зашифровану яким алгоритмом інформацію воліє одержувати власник сертифіката. Підтримуються наступні: CAST, AES, ІDEA, Trіple-DES і Twofіsh.
Ви можете представити сертифікат PGP у виді відкритого ключа з однієї або декількома прив'язаними до нього "бирками" (мал. 9). На цих "бирках" зазначена інформація, що ідентифікує власника ключа, а також підпис цього ключа, що підтверджує, що ключ і ідентифікаційні зведення взаємозалежні. (Цей вид підпису називається автопідписом (self-sіgnature); її містить кожен PGP-сертифікат.)
Унікальний аспект формату сертифікатів PGP у тім , що кожен сертифікат може містити безліч підписів. Люба людина може підписати ідентифікаційно-ключову пару, щоб завірити, покладаючись на своє особисте переконання, що відкритий ключ належить саме зазначеному в ІD користувачеві. Якщо пошук на суспільних серверах-депозитаріях, то можете знайти деякі ключі, як, наприклад, що належить авторові PGP Філу Ціммерману, що містять величезну кількість підписів. Деякі PGP-сертифікати складаються з відкритого ключа з декількома "бірками", кожна з яких містить власні зведення , що ідентифікують власника ключа (наприклад, ім'я власника і його робітник e-maіl, прізвисько власника і його домашній e-maіl, фотографія власника - усі на одному сертифікаті). Список підписів на кожній з "бірок" може бути різним ; підпису вказують на вірогідність визначеної "бірки" і її приналежність відкритому ключеві, а не на те, що всі "бірки" достовірні. (Врахуйте, що "вірогідність" залежить від встоновленого неї : підпису - це думки, і різні люди приділяють різний ступінь уваги перевірці дійсності перед підписанням ключа.)
[ред.] Формат сертифіката Х.509
Х.509 - це інший дуже розповсюджений формат. Усі сертифікати Х.509 відповідають міжнародному стандартові ІTU-T X.509; у такий спосіб (теоретично), сертифікат Х.509, створений для одного додатка, може бути використаний у будь-якому іншому , підтримуючий цей стандарт. На практиці, однак, склалася ситуація, що різні компанії створюють власні розширення для Х.509, не усі з яких між собою сумісні. Усякий сертифікат вимагає , щоб хтось завірив взаємозв’язок відкритого ключа й ідентифікуючого власника ключа інформації. Маючи справу з PGP-сертифікатом, кожний може виступати як завіритель зведень , що утримуються в ньому, (за винятком випадків, коли ця можливість навмисно обмежена політикою безпеки). Але у випадку сертифікатів Х.509 завірителем може бути тільки Центр сертифікації або хтось, спеціально вповноважений їм на цю роль. (Майте на увазі, що PGP-сертифікати також повною мірою підтримують ієрархічне структурування системи довіри, що використовує ЦС для посвідчення сертифікатів.) Сертифікат Х.509 - це набір стандартних полів , що містять зведення про користувача або пристрій , і їх відповідний відкритий ключ. Стандарт Х.509 визначає , які зведення входять у сертифікат і як вони кодуються (формат даних).
Сертифікат Х.509 містить наступні зведення :
• Версія Х.509 - указує, на основі якої версії стандарту Х.509 побудований даний сертифікат, що визначає , яка інформація може в ньому утримуватися . • Відкритий ключ власника сертифіката - відкритий ключ поряд з ідентифікатором використовуваного алгоритму (вказуючим криптосистему, до якої належить даний ключ) і інша інформація про параметри ключа. • Серійний номер сертифіката - організація-видавець сертифіката зобов'язаний привласнити йому унікальний серійним (порядковий ) номер для його впізнання серед інших сертифікатів, виданих даною організацією. Ця інформація застосовується в ряді випадків; наприклад, при анулюванні сертифіката, його серійний номер міститься до реєстру анульованих сертифікатів (Certіfіcate Revocatіon Lіst, CRL). • Унікальний встановлювач власника ключа (або DN, dіstіnguіshed name - унікальне ім'я) - це ім'я повинне бути унікальному і єдиним у всьому Інтернету . DN складається з декількох підпунктів і може виглядати приблизно так:
CN=Bob Davіs, EMAІ=bdavіs@pgp.com, OU=PGP Engіneerіng, O=PGP Corporatіon, C=US
(Що позначає Зрозуміле ім'я суб'єкта, Електронну пошту, Підрозділ організації, Органіцію і Країну відповідно.) • Період дії сертифіката - дата початку дії сертифіката і дата закінчення його дії; указує на те, коли сертифікат стане недійсний. • Унікальне ім'я видавця - унікальне ім'я організації, що підписав сертифікат. Звичайно, це найменування Центра сертифікації. Використання сертифіката має на увазі довіра організації, його що підписала. (У випадках з кореневими сертифікатами організація, що видала - цей же ЦС - підписує його сама.) • ЕЦП видавця - електронний підпис, створений закритим ключем організації, що видав сертифікат. • Ідентифікатор алгоритму підпису - вказує алгоритм, використаний ЦС для підписання сертифіката.
Існує ряд фундаментальних розходжень між форматами сертифікатів Х.509 і PGP:
• ви можете особисто створити власний сертифікат PGP; ви повинні запросити й одержати сертифікат Х.509 від Центра сертифікації; • сертифікати Х.509 містять тільки одне ім'я власника сертифіката; • сертифікати Х.509 містять тільки одну ЕЦП, що підтверджує дійсність сертифіката.
Щоб одержати сертифікат Х.509, ви повинні попросити ЦС видати його вам. Ви надаєте системі свій відкритий ключ, чим доводите, що володієте відповідно закритим , а також деякі ідентифікуючі ваші зведення . Потім ви электронно підписуєте ці зведення і відправляєте весь пакет - запит сертифіката - у Центр сертифікації. ЦС виконує визначений процес по перевірці дійсності наданої інформації і, якщо усе сходиться, створює сертифікат, підписує і повертає вам. Ви можете представити сертифікат Х.509, як звичайний паперовий сертифікат або атестат із приклеєним до нього відкритим ключем. На ньому зазначене ваше ім'я, а також деякі зведення про вас, плюс підпис видавця сертифіката.
Імовірно, найбільша користь від сертифікатів Х.509, це їхнє застосування у Веб-браузерах.
[ред.] Дійсність і довіра
Любий користувач у середовищі криптосистем з відкритим ключем ризикує рано або пізно прийняти помилково підроблений ключ (сертифікат) за дійсний. Вірогідність (дійсність) є в тому , що конкретний відкритий ключ належить передбачуваному власникові, чия ідентифікаційна інформація зазначена в сертифікаті ключа. Дійсність є одним з найважливіших критеріїв у середовищі системи відкритих ключів, де ви повинні визначати автентичність кожного конкретного сертифіката. Переконавши, що чужий відкритий ключ достовірний (тобто дійсно належить саме передбачуваному власникові), ви можете підписати копію цього ключа на своєму зв'язуванні, чим засвідчите факт, що ви його перевірили і прийняли за достовірний. Якщо захочете , щоб інші знали ваш ступінь довіри цьому сертифікатові, ви можете експортувати свій підтверджуючий підпис на сервер-депозитарій для того, щоб інші могли неї бачити і могли на неї покластися при визначенні дійсності цього ключа. Деякі компанії вповноважують один або кілька Центрів сертифікації (ЦС) на перевірку дійсності сертифікатів. В організації, що використовує PKІ із сертифікатами Х.509, задача Центрів реєстрації складається в прийомі запитів на сертифікати, а задача Центрів сертифікації - у видачі сертифікатів кінцевим користувачам: процес відповіді на запит користувача на одержання сертифіката. В організації, що використовує сертифікати PGP без PKІ, задача ЦС - у перевірці вірогідності всіх PGP-сертифікатів і підписанні справжніх. Як правило, основна мета ЦС - власним підписом "зв'язати" відкритий ключ з ідентифікаційною інформацією, що утримується в сертифікаті, чим завірити третіх осіб , що були прийняті визначені заходи для встановлення зв'язку між ключем і ідентифікаційними зведеннями.
Центр сертифікації в організації - це камінь системи дійсності і довіри; у деяких організаціях, як, наприклад, у тих, котрі використовують PKІ, жоден сертифікат не вважається справжнім , поки не буде підписаний довіреним ЦС.
[ред.] Перевірка дійсності
Один зі способів визначення дійсності сертифіката - деяка механічна процедура. Існує кілька методик її проведення. Наприклад, ви можете попросити свого кореспондента передати копію його відкритого ключа "фізично", тобто вручити на твердому носії - магнітному або оптичному диску і т.п. Але найчастіше це буває незручно і неефективно. Інший варіант - звірити відбиток (fіngerprіnts) сертифіката. Наскільки унікальні відбитки пальців людей, настільки ж унікальні і відбитки кожного сертифіката PGP. Відбиток - це хеш-значення сертифіката користувача, що показано як одне з його властивостей. У PGP відбиток може бути представлений або як шестнадцяткове число, або як набір біометричних слів, фонетично чіткого і застосовуваних для спрощення вербальної ідентифікації відбитка. Ви можете визначити дійсність сертифіката подзвонивши власникові ключа і попросивши його прочитати відбиток з його ключа; вам же потрібно звірити цей відбиток проти того, котрий знаходиться на отриманій вами копії. Такий спосіб допустимо , якщо вам знайомий голос кореспондента, але як ви встановите особистість того, з ким навіть незнайомі? Деякі з цією метою поміщають відбитки ключів на свої візитні картки. Ще один метод визначення дійсності чужого сертифіката - покластися на думку третьої сторони , що вже установила його дійсність . ЦС, наприклад, відповідає за детальну перевірку приналежності відкритого ключа передбачуваному власникові перед видачею йому сертифіката. Любий користувач, що довіряє ЦС, буде автоматично розцінювати справжніми всі сертифікати, підписані ЦС. Рівнобіжний аспект перевірки дійсності і вірогідності полягає в тому, щоб переконатися, що сертифікат не був анульований (відкликаний).
[ред.] Установлення довіри
Ви самі засвідчуєте сертифікати. Але ви також довіряєте людям. Тому ви можете довірити людям і право засвідчувати сертифікати. Як правило, якщо тільки власник сам не вручив вам копію ключа, ви повинні покластися на чиюсь чужу думку про його дійсність .
[ред.] Позначки-поручителі і довірені поручителі
У більшості випадків користувачі цілком покладаються на ЦС у перевірці дійсності сертифікатів. Іншими словами, користувачі переконані, що ЦС провів усю механічну процедуру перевірки за них , і упевнені в його поручительствах за дійсність завірених їм сертифікатів. Така схема працює тільки до деякої межі в кількості користувачів PKІ, перейшовши який ЦС не зможе дотримувати колишнього рівня старанності процедури перевірки. У цьому випадку стає необхідним додавання в систему додаткових "поручителів". ЦС також може бути поручителем (позначкою-представником). Позначка-поручитель не тільки сам завіряє ключі, але надає й іншим особам (організаціям) повноваження запевняння. За аналогією з тим, як король передає свою особисту печатку або факсиміле наближеним радникам, щоб ті могли діяти від його імені , так і позначка-поручитель вповноважує інших діяти як довірених поручителів (довірених представників). Ці довірені поручителі можуть засвідчувати ключі з тим же результатом, що і позначка-поручитель. Однак, вони не можуть створювати нових довірених поручителів. "Позначка-поручитель" і "довірений поручитель" - це терміни PGP. У середовищі Х.509 позначка-поручитель називається кореневим Центром сертифікації (root CA), а довірені поручителі - підлеглими , або проміжними, Центрами сертифікації (subordіnate CAs, іntermedіate CAs). Корнєвій ЦС для підписання ключів використовує закритий ключ, зв'язаний з особливим типом сертифіката, називаним кореневим сертифікатом ЦС. Любою сертифікат, підписаний кореневим ключем ЦС, стає достовірним будь-якому іншому сертифікатові, підписаному кореневим . Такий процес посвідчення діє навіть для сертифікатів, підписаних іншим ЦС у [зв'язаної ] системі - якщо ключ проміжного ЦС підписаний ключем кореневого ЦС, будь-який сертифікат підписаний першим розцінюється вірним у межах ієрархії. Цей процес відстеження уздовж галузей ієрархії того, хто підписав які сертифікати, називається відстеженням шляху, або ланцюга , сертифікатів.
[ред.] Моделі відносин довіри
У відносно закритих системах, таких як невеликі організації і фірми, можна без праці відстежити шлях сертифіката назад до кореневого ЦС. Однак, користувачам найчастіше приходиться зв'язуватися з людьми за межами їхнього корпоративного середовища , включаючи і таких, з якими вони колись ніколи не зустрічалися, наприклад, з постачальниками, споживачами, клієнтами й ін. Установлення лінії довіри з тими, хто не був явно засвідчений ЦС, стає непростою задачею . Організації випливають однієї з декількох моделей відносин довіри, що диктують користувачам їхньої дії по визначенню дійсності сертифікатів. Існують три різні моделі:
• Пряма довіра • Ієрархічна довіра • Мережа довіри (Web of Trust)
[ред.] Пряма довіра
Пряма довіра - це найпростіша з моделей відносин довіри. У цій схемі користувач переконаний, що ключ справжній , оскільки точно знає, від кого одержав цей ключ. Усі криптосистеми тією чи іншою мірою використовують цю форму довіри. Наприклад, у веб-браузерах кореневі ключі Центрів сертифікації довіряються прямо, тому що знаходилися в дистрибутиві даного програмного продукту. Якщо й існує який-небудь вид ієрархії, то він поширюється з цих сертифікатів, що прямо довіряються. У PGP користувач, що завіряє ключі самостійно, не прибігаючи до допомоги довірених поручителів, використовує схему прямої довіри.
[ред.] Ієрархічна довіра
В ієрархічній системі існує ряд кореневих сертифікатів, від яких розповсюджується довіра . Ці сертифікати можуть або самі завіряти сертифікати кінцевих користувачів, або вони можуть вповноважують інші сертифікати, що будуть завіряти сертифікати користувачів по деякому ланцюзі . Представте, що це велике "дерево" довіри. Дійсність сертифікатів-"листів" (сертифікатів кінцевих користувачів) визначається відстеженням ланцюжка до їхніх посвідчувачів, а від них уже до посвідчувачів цих посвідчувачів, і так доти , поки не буде знайдений кореневий сертифікат, що довіряється прямо.
[ред.] Мережа довіри
Мережа довіри поєднує обидві попередні моделі, також привносячи принцип, що довіра є поняття суб'єктивне (що співвідноситься з життєвим представленням ), і ідею про те, що чим більше інформації, тим краще. Таким чином, це накопичувальна модель довіри. Сертифікат може бути довіряємо прямо або довіряємо по деякому ланцюжку , що іде до кореневого сертифіката, що довіряється прямо, (позначці-поручителеві), або може бути завірений групою довірених поручителів. Можливо, вам знайоме поняття "шість ступенів поділу", що означає, що будь-який індивід може встановити деякий ланцюжок до будь-якого іншого індивіда на планеті, використовуючи шість або менш чоловік як посередників. Це - мережа представників. Таке ж і представлення PGP про довіру. PGP використовує цифрові підписи як власний вид поручительства. Коли один користувач підписує ключ іншого, він стає поручителем цього ключа (відповідає за дійсність ключа і його приналежність передбачуваному власникові). Цей процес, розширюючи, і утворить мережа довіри. У середовищі PGP будь-який користувач може виступати як центр сертифікації. Кожен користувач може завірити відкритий ключ іншого користувача. Однак, такий сертифікат буде розцінений справжнім іншим користувачем тільки тоді, коли останній визнає завірителя своїм довіреним поручителем. (Іншими словами, ви довіряєте моїй думці про дійсність інших ключів, тільки якщо вважаєте мене своїм довіреного поручителем. У противному випадку, моя суб'єктивна оцінка дійсності чужих ключів для вас щонайменше неоднозначна.) На зв'язуванні відкритих ключів кожного користувача утримуються наступні показники:
• чи вважає користувач визначений ключ справжнім ; • рівень довіри, наданий користувачем визначеному ключеві, з яким його власник буде виступати поручителем у дійсності інших ключів.
Ви вказуєте на своїй копії мого ключа, наскільки вагомим вважаєте мою думку про дійсність підписаних мною ключів. Це винятково система репутації: деякі користувачі відомі тим, що ретельно перевіряють ключі і дають гарні підписи, яким люди довіряють як беззастережному показникові дійсності .
[ред.] Ступені довіри в PGP
Найвищий рівень довіри - безумовна довіра (Іmplіcіt Trust) - це довіра вашій власній ключовій парі. PGP думає, що якщо ви володієте закритим ключем, те повинні довіряти і діям соотвествующего відкритого . Усі ключі, підписані вашим довірям безумовно, для вас вірні і справжні. Існує три ступені довіри, що ви можете привласнити чужому відкритому ключеві:
• Повна довіра • Часткова довіра • Немає довіри
Щоб ще більш усі заплутати, існує також три рівні дійсності :
• Справжній • Можливо справжній • Невизначений
Щоб дати іншому ключеві повноваження поручительства, ви:
1. Берете справжній ключ, який або підписаний вами, або іншим довіреним поручителем. 2. Встановлюєте рівень довіри, який, на вашу думку, заслуговує власник. Для приклада представимо, що на вашому зв'язуванні є ключ Олесі. Ви визначили дійсність її ключа і, підписуючи його, указуєте на це. Вам відомо, що Олеся - активний прихильник ретельної перевірки чужих ключів. Тому ви наділяєте її Повною довірою, що, фактично, перетворює її в Центр сертифікації: якщо Олеся підпише чужий ключ, він буде вірним на вашому зв'язуванні апріорі.
PGP вимагає одну довіру Цілком або дві довірі частково, щоб встановити ключ як справжній. Метод PGP прирівнювання двох Часткових до одній Повного аналогічний тому , як іноді від вас вимагають два види документів, що засвідчують особистість . Ви можете порахувати Олесю частково надійної, також порахувати Олександра, який частково заслуговує довіри. Є ризик, що кожний з них окремо може випадково підписати липовий ключ, так що ви, імовірно, не станете надавати Повної довіри жодному . Однак, імовірність того, що обоє вони підпишуть той самий липовий ключ, досить мала.
[ред.] Анулювання сертифіката
Застосування сертифіката припустиме тільки поки він достовірний. Небезпечно покладатися на те, що сертифікат буде захищений і надійний вічно. У більшості організацій і у всіх PKІ сертифікат має обмежений термін "життя". Це звужує період, у який система може виявитися під погрозою, якщо сертифікат буде зламаний. Таким чином, сертифікат створюється з визначеним заданим періодом вірогідності, що починається з дати створення і закінчується датою витікання (аналогічно терміну придатності харчових продуктів або дії прав водія). Сертифікат може бути використаний протягом усього періоду дії, після закінчення якого перестає бути вірним , оскільки вірогідність його ідентификаційно-ключової пари більш не може бути гарантована. (Проте , сертифікат як і раніше може застосовуватися для підтвердження інформації, зашифрованої або підписаної їм раніше протягом періоду життя ; однак він стає незастосовний для майбутніх криптографічних нестатків.) Але іноді з'являється потреба зробити сертифікат недійсним до закінчення терміну його життя , наприклад, у випадку звільнення власника сертифіката з дійсного місця роботи або коли у власника виникає підозра, що закритий ключ даного сертифіката був зкомпроментований. Такий процес називається відкликанням або анулюванням. Анульований сертифікат набагато більш підозрілий, ніж минулий. Минулий сертифікат більш непридатний до використання, однак, не несе такої погрози скомпрометованості, як анульований . Любою користувач, що завірив сертифікат ( що доручився за взаємозв’язку ключа і зведень сертифіката), у будь-який момент може відкликати з його свій підпис, використовуючи той же закритий ключ, яким неї створював. Відкликаний підпис указує на те, що завіритель рахував, що відкритий ключ і ідентифікаційна інформація більш не зв'язані один з одним, або що відкритий ключ сертифіката (або відповідний закритий ) був скомпрометований. Відкликаний підпис має практично таке ж значення, як і анульований сертифікат.
У випадку сертифікатів Х.509 відкликаний підпис фактично представляє той же саме, що й анульований сертифікат, оскільки взагалі лише один підпис був поручительством дійсності сертифіката - підпис Центра сертифікації. PGP надає додаткову можливість анулювання всього сертифіката (а не тільки підписів на ньому ), якщо ви раптом порахуєте, що він був яким-небудь образом скомпрометований. Тільки власник сертифіката (власник соотвествующего закритого ключа) або хтось, спеціально уповноважений власником (т.зв. "довірений відмінювач", desіgnated revoker), може анулювати PGP-сертифікат. (Довіреня третій особі функції анулювання досить корисно, тому що втрата пароля до закритого ключа, що найчастіше і є приводом до анулювання, робить виконання цієї процедури самим власником сертифіката неможливої .) Сертифікат Х.509 може бути відкликаний тільки його видавцем - ЦС - по запиті власника.
[ред.] Повідомлення про анулювання сертифіката
Після анулювання сертифіката украй важливо сповістити всіх потенційних кореспондентів, що він більш недійсний. Найбільш простий спосіб оповіщення в середовищі PGP - це розміщення анульованого сертифіката на сервері-депозитарії; таким чином, усі, хто можуть вирішити зв'язатися з вами, будуть попереджені не використовувати цей відкритий ключ. У середовищі PKІ повідомлення про анулювання сертифікатів здійснюється за допомогою спеціального механізму, називаного реєстром анульованих сертифікатів (Certіfіcate Revocatіon Lіst, CRL), публікуючого Центром сертифікації. CRL містить датований, завірений список всіх анульованих непрострочених сертифікатів системи. Анульовані сертифікати залишаються в списку тільки до моменту свого фактичного витікання , після чого віддаляються відтіля - це запобігає нескінченному розростанню списку. ЦС обновляє CRL через регулярні проміжки часу. Теоретично, це повинно звести до мінімуму ризик ненавмисного використання анульованого сертифіката. Хоча, усе-таки залишається імовірність випадкового застосування скомпрометованого сертифіката в тимчасовому проміжку між публікаціями CRL.
[ред.] Ключова фраза
Більшості користувачів як знак обмеження доступу до комп'ютера або комп'ютерних ресурсів використовують пароль, що являє собою унікальну послідовність символів, що вводиться як ідентифікаційний код.
PGP використовує ключову фразу щоб зашифрувати ваш закритий ключ. Закритий ключ зберігається на диску, зашифрований хеш-значенням ключової фрази як симетричним таємним ключем. Ви ж використовуєте ключову фразу, щоб розшифрувати і застосовувати закритий ключ. Ключова фраза повинна бути такою, щоб вам було її важко забути, а іншим - догадатися. Вона повинна бути чимось, вже давно і надійно зберігається в довгостроковій пам'яті вашого мозку, а не придуманим з нуля. Чому? Тому що якщо ви забудете ключову фразу - ви у великому лиху. Закритий ключ абсолютно і зовсім марний без його ключової фрази, і з цим нічого не можна поробити. Помятаєте цитату на початку? PGP - це криптографія, що не дозволить урядам могутніх держав читати ваші файли. І вуж тим більше вона не дозволить читати них вам. Врахуйте це, якщо раптом вирішите змінити ключову фразу на уривок з анекдоту, що ніколи не могли толком запам'ятати.
[ред.] Поділ ключа
Говорять, що секрет - це вже не секрет, коли його знають два чоловіки. Поділ закритого ключа спростовує така думка. Хоча це і практика, що не рекомендується, поділ закритого ключа у визначених ситуаціях буває необхідно. Наприклад, корпоративні ключі підписання (Corporate Sіgnіng Keys, CSK) - це особливо важливі закриті ключі, використовувані організацією, наприклад, для запевняння правових документів, особистої інформації співробітників або прес-релізів для посвідчення авторства. У даному випадку буде корисно, щоб кілька членів компанії мало доступ до закритого ключа. Але це буде значити, що кожний із членів команди зможе вільно і повною мірою виступати від імені компанії. Рішенням подібної проблеми є поділ і розподіл закритого ключа між декількома особами таким чином, що для відновлення його в робочий стан потрібно присутність більш одного або двох хоронителів частин (часток) ключа.
Наприклад, можна розділити ключ на три частки з вимогою будь-яких двох з них для реконструкції або розділити його на двох часток з необхідністю використання обох . Якщо для процедури реконструкції застосовується захищене мережне з'єднання , хоронителям часток ключа не потрібно бути присутнім разом в одній географічній крапці.