Autoritatea de Certificare

În criptografie , o autoritate de certificare sau o autoritate de certificare ( de exemplu, Autoritate  de certificare, CA ) este o parte (departament, organizație) a cărei onestitate este de netăgăduit, iar cheia publică este cunoscută pe scară largă. Sarcina autorității de certificare este de a autentifica cheile de criptare folosind certificate de semnătură electronică .

Din punct de vedere tehnic, CA este implementat ca o componentă a serviciului de director global și este responsabil pentru gestionarea cheilor criptografice ale utilizatorilor. Cheile publice și alte informații despre utilizatori sunt stocate de autoritățile de certificare sub formă de certificate digitale .

Nevoia unei autorități de certificare

Un cifru asimetric vă permite să criptați cu o cheie și să decriptați cu alta. Astfel, o cheie (cheia de decriptare, „secretă”) este păstrată de către partea care primește, iar a doua (cheia de criptare, „deschisă”) poate fi obținută în timpul unei sesiuni de comunicare directă, prin poștă, aflată pe „electronic”. buletin board”, etc. Dar un astfel de sistem de comunicare rămâne vulnerabil în fața unui atacator care se preface a fi Alice , dar dă cheia lui publică, nu a ei.

Pentru a rezolva această problemă, cheia publică a lui Alice, împreună cu informațiile însoțitoare (nume, data de expirare etc.) , sunt semnate de o autoritate de certificare. Desigur, se presupune că autoritatea de certificare este sinceră și nu va semna cheia atacatorului. Și a doua cerință: cheia publică a autorității de certificare este distribuită atât de larg încât chiar înainte de stabilirea conexiunii, Alice și Bob vor avea această cheie, iar atacatorul nu va putea face nimic în acest sens.

Când rețeaua este foarte mare, încărcarea autorității de certificare este mare. Prin urmare, certificatele pot forma lanțuri: autoritatea de certificare rădăcină semnează cheia serviciului de securitate al companiei, iar compania semnează cheile angajaților. Toți membrii lanțului trebuie să fie sinceri și este suficient ca centrul rădăcinii să aibă o cheie cunoscută pe scară largă.

În cele din urmă, cheile private ale abonaților sunt expuse din când în când. Prin urmare, dacă este posibil să se comunice direct cu autoritatea de certificare, aceasta din urmă ar trebui să poată revoca certificatele „subordonaților” săi.

În cazul în care există un canal de comunicare deschis ieftin (Internet) și unul secret scump (întâlnire personală), există certificate autosemnate . Ele, spre deosebire de cele convenționale, nu pot fi amintite de la distanță. Certificatele rădăcină sunt, de asemenea, autosemnate din punct de vedere tehnic.

Informații de bază

O autoritate de certificare este o componentă responsabilă cu gestionarea cheilor criptografice ale utilizatorilor.

Cheile publice și alte informații despre utilizatori sunt stocate de autoritățile de certificare sub formă de certificate digitale având următoarea structură:

• numărul de serie al certificatului;
• identificatorul de obiect al algoritmului de semnătură electronică ;
• numele autorității de certificare;
• perioada de valabilitate a certificatului;
• numele proprietarului certificatului (numele utilizatorului care deține certificatul );
• cheile publice ale proprietarului certificatului (pot exista mai multe chei);
• identificatorii de obiect ai algoritmilor asociati cheilor publice ale detinatorului certificatului;
• o semnătură electronică generată folosind cheia secretă a autorității de certificare (se semnează rezultatul hash al tuturor informațiilor stocate în certificat).

Diferența dintre un centru acreditat este că acesta se află într-o relație contractuală cu o autoritate de certificare superioară și nu este primul proprietar al unui certificat autosemnat în lista certificatelor rădăcină certificate. Certificatul rădăcină al unei autorități acreditate este certificat de o autoritate de certificare superioară din ierarhia sistemului de identitate. Astfel, centrul acreditat primește „dreptul tehnic” al lucrării și moștenește „încrederea” de la organizația care a efectuat acreditarea.

Un centru de certificare cheie acreditat este obligat să îndeplinească toate obligațiile și cerințele stabilite de legislația țării de localizare sau de către o organizație care efectuează acreditarea în propriul interes și în conformitate cu regulile sale.

Procedura de acreditare și cerințele pe care trebuie să le îndeplinească un centru de certificare cheie acreditat sunt stabilite de organismul autorizat relevant al statului sau al organizației care efectuează acreditarea.

Autoritatea cheie de certificare are dreptul de a:

• furnizarea de servicii de certificare a certificatelor de semnătură digitală electronică
• menține certificatele de cheie publică
• primiți și verificați informațiile necesare pentru a crea o corespondență între informațiile specificate în certificatul cheie și documentele depuse.

Centre de certificare din Rusia

Pentru efectuarea lucrărilor, centrele de certificare, conform Legii N 63-FZ din 6 aprilie 2011, [1] , trebuie să fie acreditate. [2] Această lege reglementează relațiile în domeniul utilizării semnăturilor electronice în tranzacțiile de drept civil, prestarea de servicii de stat și municipale, îndeplinirea funcțiilor de stat și municipale, precum și efectuarea altor acțiuni semnificative din punct de vedere juridic. În legătură cu dezvoltarea intensivă a digitalizării serviciilor publice în 2021, reglementările pentru activitatea centrelor de certificare au fost modificate semnificativ.

Manipulări cu semnături electronice în centrele de certificare ale Federației Ruse

• În Federația Rusă , centrele de certificare a semnăturilor electronice sunt uneori folosite pentru a falsifica semnăturile electronice [3] . Potrivit auditorilor Camerei de Conturi a Federației Ruse , după transferurile ilegale masive de economii de pensii de la PFR la FNP , acțiunile centrelor de certificare acreditate pentru transferul cererilor de schimbare a asigurătorului necesită o verificare specială din partea Ministerului Comunicațiilor . [4] , adevărul este că colegiul Camerei de Conturi prezidat de Tatyana Golikova a condamnat unele CA pentru folosirea ilegală a semnăturii electronice a asiguratului, precum și întocmirea de documente fără participarea unui cetățean [5] . „Un audit al Camerei de Conturi a scos la iveală încă o dată încălcări masive chiar și în prezența măsurilor consolidate de protecție a semnăturii electronice”, a comentat președintele APPF Serghei Belyakov [6] , în plus, dovezile manipulării CA cu semnături erau atât de convingătoare. că PFR a încetat să accepte cereri de transfer de economii de pensii prin centre de certificare [7] . Fondul de pensii din Rusia a numit incidentul o consecință a proiectului pilot, dar nu a negat că transferurile au devenit posibile, inclusiv prin agenți care cooperează cu centrele de certificare [8] , justificări „nesuportabile” numite o astfel de poziție a PFR, președintele PFR. a Camerei de Conturi Tatyana Golikova [9] . Unii experți au susținut că falsificarea în masă a semnăturilor electronice a fost realizată prin reutilizarea semnăturii electronice a clientului de către autoritatea de certificare [10] . Ca urmare, suspectând o coluziune între AC și FNP , Ministerul Muncii a elaborat o propunere de excludere a centrelor de certificare din sistemul de depunere a cererilor electronice de schimbare a FNP de la cetățeni, la care Ministerul Finanțelor și Ministerul Dezvoltării Economice. a trimis feedback negativ și a blocat inițiativa Ministerului Muncii ca fiind ilegală [11] , cu toate acestea, încrederea în CA rusă a fost pierdută iremediabil [12] .
• O altă modalitate de a manipula semnăturile electronice printr-o autoritate de certificare este că clientului i se oferă eliberarea de la distanță a unui certificat calificat fără contact personal între solicitant și angajatul departamentului de înregistrare al centrului de certificare , în acest caz, semnătura electronică este emisă. de la distanță, pe baza documentelor solicitantului transmise prin internet autorității de certificare [13] . Ca urmare a unor astfel de acțiuni, cauzate, potrivit experților sistemului juridic Garant , de faptul că „ funcțiile informatice din activitățile CA prevalează asupra esenței sale juridice ”, semnătura electronică poate fi utilizată de terți fără scrupule [14]. ] . Este inacceptabilă emiterea unui certificat de semnătură electronică în baza unei procuri scrise de mână [15] .

Vezi și

• Rutoken
• VeriSign
• Să criptăm
• GlobalSign
• Lista de revocare a certificatelor

Note

1. ↑ LEGEA FEDERALĂ privind semnătura electronică (modificată la 24 februarie 2021) . https://docs.cntd.ru/ . docs.cntd.ru (24 februarie 2021). Data accesului: 22 mai 2021. (Rusă)
2. ↑ Acreditarea centrelor de certificare . digital.gov.ru _ digital.gov.ru (22 mai 2021). Data accesului: 22 mai 2021. (Rusă)
3. ↑ „PFR a suspendat acceptarea cererilor de transfer de economii în Marea Britanie și NPF” 2008-2018 „ Fondul de pensii al Federației Ruse ” din 29 iunie 2017
4. ↑ „Procedura de transfer al economiilor de pensii din Fondul de pensii presupune riscuri, conform asociației mixte” MIA Rossiya Segodnya din 27.06.2017.
5. ↑ „Cetățenii nu au posibilitatea de a primi informații actualizate la încheierea unui acord cu NPF” „ Camera de Conturi a Federației Ruse ”, 27 iunie 2017
6. ↑ „O simplă semnătură electronică nu va proteja economiile” gazeta.ru din 31.07.2017,
7. ↑ „PFR va funcționa într-un mod nou după criticile Camerei de Conturi” „ Vedomosți ” din 28 iunie 2017
8. ↑ „Camera de Conturi a subliniat manipulări cu economiile de pensii ale cetățenilor” „ RBC ” din 27 iunie 2017
9. ↑ „Au fost dezvăluite falsificări masive în timpul transferului de economii de pensii” „ Vedomosți ” din 27 iunie 2017
10. ↑ „Semnătura electronică din încredere ” RBC Nr. 108 (2604) (2306) 23 iunie 2017: „Potrivit consilierului NAPF Valery Vinogradov, o semnătură electronică generată într-un centru de certificare ar trebui utilizată o singură dată. Odată folosit, centrul ar trebui să îl îndepărteze, spune el. „Cu toate acestea, la sfârșitul lunii decembrie, aceste semnături electronice ale clienților au fost folosite a doua oară”, afirmă expertul .
11. ↑ „Ministerul Muncii a decis să complice transferul economiilor de pensii” „ Vedomosți ” din 16 ianuarie 2017
12. ↑ „NPF-urile au rezolvat problema tranziției” Ziarul „Kommersant” Nr.239 din 22.12.2017, p. 10.
13. ↑ „Emiterea unei semnături electronice fără prezența personală a reclamantului încalcă legea” „ Garantul ” din 7 decembrie 2017
14. ↑ „Emiterea unei semnături electronice fără prezență personală încalcă legea” „ Electronic Express ”, 2018.
15. ↑ „Riscuri de emitere a unui certificat de semnătură electronică prin procură scrisă de mână ” Compania Garant din 19 ianuarie 2018.

Link -uri

• Lista autorităților de certificare în funcție de țară  (link inaccesibil)
• CA din Curlie Link Directory (dmoz)
• Lista certificatelor rădăcină incluse în Firefox
• Prezentare generală a CA
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520