- Стандарты, основанные на иок
- Что такое криптография с открытыми ключами
- Ipsec
- S/mime
- Secure electronic transactions (set)
- Ssl и tls
- X.509
- Для чего нужна криптография
- Использование иок в приложениях
- Как проверить установленные сертификаты в системе?
- Компоненты иок и их функции
- Необходимость защиты информации
- Пользователи
- Стандарты pkix
- Стандарты в области иок
- Тестовый удостоверяющий центр ооо «крипто-про»
- Установка выпущенного сертификата
- Установка личного сертификата криптопро
- Установка ранее скачанного сертификата
- Центр регистрации
- Центр сертификации
- Электронная почта и документооборот
- Эцп файлов и приложений
- Заключение
Стандарты, основанные на иок
Большинство стандартов, использующих криптографию, разработано с учетом использования ИОК.
Что такое криптография с открытыми ключами
Криптографическое преобразование (шифрование)- взаимно-однозначное математическое преобразование, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации (представленной в некоторой цифровой кодировке) блок шифрованной информации, также представленной в цифровой кодировке. Термин шифрование объединяет в себе два процесса: зашифрование и расшифрование информации.
Криптография делится на два класса: с симметричными ключами и открытыми ключами.
В криптографии с симметричными ключами отправитель и получатель используют один и тот же (общий) ключ, как для шифрования, так и для расшифрования.
Преимущества криптографии с симметричными ключами:
Недостатки криптографии с симметричными ключами:
В криптографии с открытыми ключами используется пара ключей: открытый ключ и секретный (личный) ключ, известный только его владельцу. В отличие от секретного ключа, который должен сохраняться в тайне, открытый ключ может распространяться по сети. Секретный ключ в криптографии с открытыми ключами используется для формирования электронной подписи и расшифрования данных.
Криптография с открытыми ключами обеспечивает все требования, предъявляемые к криптографическим системам. Но реализация алгоритмов требует больших затрат процессорного времени. Поэтому в чистом виде криптография с открытыми ключами в мировой практике обычно не применяется.
Криптография с открытыми ключами требует наличия Инфраструктуры Открытых Ключей (PKI — Public Key Infrastructure) — неотъемлемого сервиса для управления электронными сертификатами и ключами пользователей, прикладного обеспечения и систем.
Верификация открытого ключа
Непосредственное использование открытых ключей требует дополнительной их защиты и идентификации для определения связи с секретным ключом. Без такой дополнительной защиты злоумышленник может представить себя как отправителем подписанных данных, так и получателем зашифрованных данных, заменив значение открытого ключа или нарушив его идентификацию.
Электронный сертификат представляет собой цифровой документ, который связывает открытый ключ с определенным пользователем или приложением. Для заверения электронного сертификата используется электронная цифровая подпись доверенного центра — Центра Сертификации (ЦС).
Исходя из функций, которые выполняет ЦС, он является основной компонентой всей Инфраструктуры Открытых Ключей. Используя открытый ключ ЦС, каждый пользователь может проверить достоверность электронного сертификата, выпущенного ЦС, и воспользоваться его содержимым.
Верификация цепочки сертификатов
Как описывалось ранее, доверие любому сертификату пользователя определяется на основе цепочки сертификатов. Причем начальным элементом цепочки является сертификат центра сертификации, хранящийся в защищенном персональном справочнике пользователя.
Процедура верификации цепочки сертификатов описана в рекомендациях X.509 и RFC 2459 и проверяет связанность между именем Владельца сертификата и его открытым ключом. Процедура верификации цепочки подразумевает, что все «правильные» цепочки начинаются с сертификатов, изданных одним доверенным центром сертификации.
Под доверенным центром понимается главный ЦС, открытый ключ которого содержится в самоподписанном сертификате. Такое ограничение упрощает процедуру верификации, хотя наличие самоподписанного сертификата и его криптографическая проверка не обеспечивают безопасности.
Алгоритм верификации цепочек использует следующие данные:
Цепочка сертификатов представляет собой последовательность из n сертификатов, в которой:
Одновременно с цепочкой сертификатов используется цепочка СОС, представляющая собой последовательность из n СОС, в которой:
После построения двух цепочек (сертификатов и СОС) выполняется:
Ipsec
Протокол IPSEC (Internet Protocol Security Protocol) разработан IETF как протокол для шифрования IP и является одним из основных протоколов, используемых для построения VPN. ИОК в протоколе IPSEC используется для аутентификации и шифрования. В настоящее время протокол еще широко не распространен, но повсеместное развитие ИОК приводит к возрастания количества реализаций IPSEC.
S/mime
Стандарт S/MIME определен IETF для обеспечения защищенного обмена сообщениями. S/MIME использует ИОК для формирования ЭЦП и шифрования информации. В группе стандартов S/MIME наиболее важными являются следующие: Cryptographic Message Syntax, Message Specification, Certificate Handling и Certificate Request Syntax.
Secure electronic transactions (set)
Протокол SET был разработан фирмами Visa и MasterCard и предназначен для обеспечения системы электронных банковских расчетов с использованием пластиковых карт. В данном протоколе ИОК является фундаментом, на котором базируется вся система аутентификации участников расчетов.
Ssl и tls
Протокол SSL (разработанный фирмой Netscape) и соответствующий ему стандарт IETF TLS (RFC 2246) являются наиболее используемыми стандартами для обеспечения защищенного доступа к Web. Вместе с этим, SSL и TLS широко используются для создания клиент — серверных приложений, не использующих Web. Оба эти протокола в своей основе используют ИОК.
X.509
Стандарт X.509 ITU-T является фундаментальным стандартом, лежащим в основе всех остальных, используемых в ИОК. Основное его назначение — определение формата электронного сертификата и списков отозванных сертификатов.
Для чего нужна криптография
Система криптографической защиты должна обеспечивать:
Использование иок в приложениях
ИОК используется для управления ключами и электронными сертификатами в приложениях (таких как электронная почта, Web приложения, электронная коммерция), использующих криптографию для установления защищенных сетевых соединений (S/MIME, SSL, IPSEC), или для формирования ЭЦП электронных документов, приложений и т.д. Кроме того, ИОК может быть использована для корпоративных приложений.
Как проверить установленные сертификаты в системе?
Но если вы хотите убедиться, что сертификат установлен на вашем компьютере под операционной системой Windows, то это можно следующем способом:
- Зайти в крипто про через панель управления
- Открыть вкладку Сервис
- Нажать просмотреть сертификат
- Нажимаем копку Обзор и смотрим все сертификаты в системе какие есть на данный момент.
Вот и все! В данной статье мы ознакомились с принципами создания тестового сертификаты для понимания и настройки программ для подписания документов ЭЦП
Но! Это не ограничивает этот функционал и вы можете его использовать и в других целях, а если знать в каких, читайте в следующих моих статьях!
Компоненты иок и их функции
В состав компонент ИОК входят следующие компоненты:
Необходимость защиты информации
Продолжающееся бурное развитие компьютерных технологий и повсеместное внедрение в бизнес с использованием Интернета коренным образом изменяет устоявшиеся способы ведения бизнеса. Системы корпоративной безопасности, обеспечивающие бизнес, тоже не могут оставаться в стороне.
В настоящее время, например, средства электронной почты, используются не только для общения между людьми, а для передачи контрактов и конфиденциальной финансовой информации. Web сервера используются не только для рекламных целей, но и для распространения программного обеспечения и электронной коммерции.
Электронная почта, доступ к Web серверу, электронная коммерция, VPN требуют применения дополнительных средств для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации. В настоящее время в качестве таких средств повсеместно используются средства криптографической защиты и Инфраструктура Открытых Ключей (ИОК).
Пользователи
Пользователь, приложение или система, являющиеся Владельцами сертификата и использующие ИОК.
Стандарты pkix
Спецификации PKIX основаны на двух группах стандартов: X.509 ITU-T (Международный комитет по телекоммуникациям) и PKCS (Public Key Cryptography Standards) firmy RSA Data Security. X.509 изначально был предназначен для спецификации аутентификации при использовании в составе сервиса X.
500 директории. Фактически же, синтаксис электронного сертификата, предложенный в X.509 признан стандартом де-факто и получил всеобщее распространение независимо от X.500. Однако X.509 ITU-T не был предназначен для полного определения ИОК. В целях применения стандартов X.
Стандарты в области иок
Стандарты в области ИОК делятся на две группы: часть из них описывает собственно реализацию ИОК, а вторая часть, которая относится к пользовательскому уровню, использует ИОК, не определяя ее. На приведенном рисунке показана связь приложений со стандартами. Стандартизация в области ИОК позволяет различным приложениям взаимодействовать между собой с использованием единой ИОК.
В особенности стандартизация важна в области:
Тестовый удостоверяющий центр ооо «крипто-про»
для того что бы выпустить тестовый сертификат нужно проделать следующие шаги:
Установка выпущенного сертификата
После одобрения запроса оператор УЦ выпускает сертификат ЭП. В программе статус заявления изменится на «Сертификат выпущен, не установлен».
Выпущенный сертификат необходимо установить. Для этого нажмите кнопку 
Программа сообщит о том, что установка сертификата прошла успешно:
Установка личного сертификата криптопро
Установить личный сертификат можно двумя способами:
- Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
- Через меню КриптоПро CSP «Установить личный сертификат»
Установка через меню «Просмотреть сертификаты в контейнере»
1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP», перейдите на вкладку «Сервис» и кликните по кнопке «Просмотреть сертификаты в контейнере».
2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».
3. В открывшемся окне нажмите кнопку «Далее».
4. В следующем окне нажмите на кнопку «Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится). Сертификат установлен.
5. Если кнопка «Установить» отсутствует, то в окне «Сертификат для просмотра» нажмите на кнопку «Свойства».
6. В открывшемся окне выберите «Установить сертификат».
7. В окне «Мастер импорта сертификатов» выберите «Далее». В следующем окне оставьте переключатель на пункте «Автоматически выбрать хранилище на основе типа сертификата» и нажмите «Далее». Сертификат будет установлен в хранилище «Личные».
8. В следующем окне выберите «Далее», затем нажмите на кнопку «Готово» и дождитесь сообщения об успешной установке.
Для установки понадобится файл сертификата (файл с расширением.cer). Файл сертификата можно экспортировать из хранилища «Личные». Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу help@kontur.ru, указав ИНН и КПП организации и суть проблемы.
1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». В окне Свойства КриптоПро CSP перейдите на вкладку «Сервис» и кликните по кнопке «Установить личный сертификат».
2. В окне «Мастер импорта сертификатов» нажмите на кнопку «Далее». В следующем окне кликните по кнопке «Обзор» и выберите файл сертификата.
3. Далее укажите путь к сертификату и нажмите на кнопку «Открыть»>«Далее».
4. В следующем окне кликните по кнопке «Далее».
5. Нажмите кнопку «Обзор».
6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку «Ок».
7. После выбора контейнера нажмите на кнопку «Далее».
8. В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».
Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку «Установить сертификат в контейнер».
9. Выберите хранилище «Личные» и нажмите «ОК».
10. После выбора хранилища нажмите на кнопку «Далее», затем «Готово». После нажатия на кнопку «Готово» может появиться вопрос о замене существующего сертификата новым. В окне запроса выберите «Да».
Дождитесь сообщения об успешной установке. Сертификат установлен.
Установка ранее скачанного сертификата
Чтобы установить ранее скачанный сертификат, нажмите кнопку 
«Главная». Выберите его и нажмите «Открыть».
Примечание
Если Вы хотите работать без съемного носителя (дискеты, флеш-накопителя, Рутокен, eToken и подобных носителей), то контейнер закрытого ключа, соответствующий устанавливаемому сертификату, должен находиться в реестре компьютера.
Если Вы хотите работать со съемным носителем (дискетой, флеш-накопителем, Рутокен, eToken и подобным носителем), то контейнер закрытого ключа, соответствующий устанавливаемому сертификату, должен находится на съемном носителе.
Программа сообщит о том, что установка сертификата прошла успешно:
Центр регистрации
Опциональная компонента ИОК, предназначенная для регистрации конечных пользователей. Основная задача ЦР — регистрация пользователей и обеспечение их взаимодействия с ЦС. В задачи ЦР может также входить публикация сертификатов и СОС в сетевом справочнике LDAP.
Центр сертификации
Центр Сертификации (или Удостоверяющий Центр) — основная управляющая компонента ИОК, предназначенная для формирования электронных сертификатов подчиненных Центров и конечных пользователей. Кроме сертификатов, ЦС формирует список отозванных сертификатов X.509 CRL (СОС) с регулярностью, определенной Регламентом системы.
К основным функция ЦС относятся:
Электронная почта и документооборот
Защищенные электронная почта и документооборот используют криптографию для шифрования сообщений или файлов и формирования ЭЦП. Из наиболее известных и распространенных стандартов стоит отметить протокол S/MIME (Secure Multipurpose Internet Mail Extensions), который является расширением стандарта Internet почты MIME (Multipurpose Internet Mail Extensions).
Эцп файлов и приложений
Использование ЭЦП для подписи приложений и файлов позволяет безопасно распространять их по сети Internet. При этом пользователь уверен в корректности полученного приложения от фирмы-разработчика.
Заключение
Криптография с открытыми ключами и электронные сертификаты позволяют реализовать по настоящему защищенные системы и приложения, использующие современные технологии и сети передачи данных. Стандартизация в данной области позволяет различным приложением взаимодействовать между собой, используя единую Инфраструктуру Открытых Ключей.
