PGP и системы сертификации открытых ключей

При массовом распространении и использовании средств открытой криптографии, вопрос обеспечения подлинности ключей становится центральным и требует особого к себе внимания. Традиционным методом удостоверения подлинности документа является его нотариальное заверение. Для обеспечения подлинности открытого ключа тоже было предложено использовать электронный аналог нотариального заверения – электронную подпись доверенного лица или группы лиц.
Так что и в этом вопросе человечество снова не выдумало ничего принципиально нового. Подлинность открытого ключа и его атрибутов обеспечивается электронной подписью под ним, принадлежащей некоторому лицу или группе лиц, которым доверяют участники обмена. На практике это реализуется посредством, так называемых, «центров сертификации ключей» или «доверительных центров»(английский термин – Certification Authority, которому, к сожалению, тоже нет русского дословного аналога). Прежде чем говорить о центрах сертификации открытых ключей и вообще об инфраструктуре открытых ключей, следует сказать несколько слов о пионере «открытой» криптографии Филе Циммермане. Сказать о нем следуетне только потому, что он сделал криптографические методы доступными для широкого круга пользователей, но и потому, что он придумал оригинальную идею обеспечения подлинности открытых ключей.

Напомним, что Фил Циммерман – бывшийсотрудник АНБ, в 1992 году написал и сделал широко доступной программу PGP (Pretty GoodPrivacy. Название можно перевести на русскийязык как «Довольно Хорошая Секретность»),предназначенную для шифрования и электронной подписи сообщений. В жизни PGP и самого Фила Циммермана был и «гнев спецслужб», и признание «широких масс пользователей». Было время, когда Циммерман находился под следствием, якобы за «разглашение государственной тайны». Захватывающая история появления и развития PGPне есть тема для этой статьи. Нас будут интересовать оригинальные, если угодно, общественно технологические идеи, реализованные в PGP.

PGP – это программа, которая позволяет шифровать и подписывать электронные документы с использованием нескольких криптографических алгоритмов. При этом для шифрования используется «гибридная» схема: информация шифруется симметричным алгоритмом на сеансовом ключе, а сеансовый ключ зашифровывается несимметричным алгоритмом на открытом ключе получателя сообщения. Поскольку Фил Циммерман одной из задач PGP считал бесконтрольное со стороны государства использование криптографических технологий, он предложил идею взаимной сертификации открытых ключей. Идея взаимной сертификации открытых ключей реализуется следующим образом. Вы, как пользователь программы PGP, создаете свою ключевую пару. Далее, если Вы хотите передавать зашифрованную информацию другим людям, то Вам следует позаботится о безопасном способе передачи Вашего открытого ключа Вашим корреспондентам. Например, таковым способом может быть личная встреча. Вы и Ваш корреспондент передаете друг другу открытые ключи. Вы и Ваш корреспондент можете подписать открытые ключи друг друга и разместить полученные «сертификаты» на свободно доступном сервере. Далее. Подписей под открытым ключом может быть несколько и каждой из них может быть присвоен определенный «уровень доверия». При этом уровень доверия определяет конечный потребитель ключа. То есть используя принцип «друг моего друга – мой друг»,можно организовать общение уже Ваших друзей с Вашим корреспондентом. Если Ваши друзья Вам доверяют полностью, то Вашей подписи под ключом Вашего корреспондента для них будет достаточно для его использования. В технологии PGP неявно использовался принцип «взаимного доверия». Если я, как пользователь PGP, заинтересован в увеличении числа корреспондентов, с которыми я буду в состоянии поддерживать шифрованное сообщение, то я постараюсь найти больше людей, которые мне доверяют, с целью сертификации моего ключа. А те, в свою очередь, будут искать своих доверителей. В результате, совершенно незнакомые люди, желающие организовать обмен зашифрованными сообщениями могут с сервера ключей PGP получить открытые ключи с большим количеством подписей незнакомых друг с другом людей. С большой вероятностью среди подписей в сертификате окажется или подпись человека, которому эти люди доверяют полностью, или несколько подписей людей, доверие к которым нестоль безгранично, но все же имеет место быть.При этом каждый из корреспондентов волен сам расставлять приоритеты подписей. И все таки Филу Циммерману не удалось полностью реализовать свою идею. Система «взаимной сертификации, основанной на доверии», не выдержала испытание реальностью. PGP, конечно, продолжает применяться и имеет своих сторонников, но на корпоративном уровне (а в некоторых странах – и на государственном), система сертификации ключей PGP полностью вытеснена доверительными центрами или центрами сертификации открытых ключей. Общественный Институт мировых судей и нотариусов не нов, так что создателям центров сертификации не пришлось выдумывать ничего нового. Вместо взаимной сертификации ключей был предложен механизм сертификации открытых ключей в «электронном нотариате». Для превращения открытого ключа в сертификат открытого ключа к нему добавляются реквизиты владельца ключа, реквизиты «доверительного центра», а также сроки действия ключа и другая необходимая информация. Вся информация кодируется специальным образом для обеспечения однозначности и подписывается на секретном ключе доверительного центра.

Юридический статус доверительного центра может быть любым. От официально государственного до корпоративного или частного. Многие крупные западные корпорации уже имеют свои корпоративные центры сертификации для организации внутрифирменного обмена конфиденциальной информацией. Созданыи успешно функционируют независимые центры сертификации, например, «VerySign, Inc». Собственные публичные центры сертификации созданы компаниями Microsoft и AmericanExpress. Создание и разворачивание российских центров сертификации – дело недалекого будущего. В настоящее время в Государственной Думе Российской Федерации рассматриваются несколько законопроектов, так или иначе регламентирующих использование электронно-цифровой подписи. Один из законопроектов так и называется – «Об использовании электронно цифровой подписи». Остальные – «Об электронной коммерции» и «Об электронной торговле». Все законопроекты предполагают разворачивание центров сертификации открытых ключей на федеральном уровне. При этом ни один из законопроектов не затрагивает вопрос ведомственной принадлежности центров сертификации, а также не описывает круг лици/или организаций, которые будут временно в обязательном порядке пользоваться услугами создаваемых центров сертификации.

Комментарии

Нет комментариев. Вы можете быть первым!

Оставить комментарий