Certificeringsmyndighed

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 18. februar 2022; checks kræver 6 redigeringer .

I kryptografi er en certificeringsmyndighed eller certificeringsmyndighed ( eng.  Certification Authority, CA ) en part (afdeling, organisation), hvis ærlighed er ubestridelig, og den offentlige nøgle er bredt kendt. Certificeringsmyndighedens opgave er at autentificere krypteringsnøgler ved hjælp af elektroniske signaturcertifikater .

Teknisk set er CA'en implementeret som en komponent i den globale adressebogstjeneste og er ansvarlig for at administrere brugernes kryptografiske nøgler. Offentlige nøgler og andre oplysninger om brugere opbevares af certificeringsmyndigheder i form af digitale certifikater .

Behovet for en certifikatmyndighed

En asymmetrisk chiffer giver dig mulighed for at kryptere med én nøgle og dekryptere med en anden. Således opbevares en nøgle (dekrypteringsnøglen, "hemmelig") af den modtagende part, og den anden (krypteringsnøglen, "åben") kan fås under en direkte kommunikationssession, via mail, fundet på "elektronisk opslagstavle", osv. Men sådan et kommunikationssystem forbliver sårbart over for en angriber, der udgiver sig for at være Alice , men giver sin offentlige nøgle, ikke hendes.

For at løse dette problem er Alices offentlige nøgle, sammen med den medfølgende information (navn, udløbsdato, osv.) , underskrevet af en certifikatmyndighed. Det antages naturligvis, at certifikatmyndigheden er ærlig og ikke vil underskrive angriberens nøgle. Og det andet krav: certificeringsmyndighedens offentlige nøgle er distribueret så bredt, at selv før forbindelsen er etableret, vil Alice og Bob have denne nøgle, og angriberen vil ikke være i stand til at gøre noget ved det.

Når netværket er meget stort, er belastningen på certifikatmyndigheden stor. Derfor kan certifikater danne kæder: rodcertificeringsmyndigheden underskriver nøglen til virksomhedens sikkerhedstjeneste, og virksomheden underskriver medarbejdernes nøgler. Alle medlemmer af kæden skal være ærlige, og det er nok, at rodcentret har en alment kendt nøgle.

Endelig bliver abonnenternes private nøgler afsløret fra tid til anden. Derfor, hvis det er muligt at kommunikere direkte med certifikatmyndigheden, bør denne kunne tilbagekalde certifikaterne fra sine "underordnede".

Hvis der er en billig åben kommunikationskanal (internet) og en dyr hemmelig (personligt møde), er der selvsignerede certifikater . De, i modsætning til konventionelle, kan ikke genkaldes eksternt. Rodcertifikater er også teknisk selvsignerede.

Grundlæggende information

En certificeringsmyndighed er en komponent, der er ansvarlig for at administrere brugernes kryptografiske nøgler.

Offentlige nøgler og andre oplysninger om brugere gemmes af certifikatmyndigheder i form af digitale certifikater med følgende struktur:

• certifikatets serienummer;
• objektidentifikator for den elektroniske signaturalgoritme ;
• navnet på certificeringsmyndigheden;
• certifikatets gyldighedsperiode;
• navn på ejeren af ​​certifikatet (navnet på brugeren, der ejer certifikatet );
• offentlige nøgler for certifikatejeren (der kan være flere nøgler);
• objektidentifikatorer for algoritmerne forbundet med certifikatindehaverens offentlige nøgler;
• en elektronisk signatur genereret ved hjælp af den hemmelige nøgle fra certificeringsmyndigheden (hash-resultatet af alle oplysninger, der er gemt i certifikatet, er underskrevet).

Forskellen mellem et akkrediteret center er, at det er i et kontraktforhold med en højere certificeringsmyndighed og ikke er den første ejer af et selvsigneret certifikat på listen over certificerede rodcertifikater. Rodcertifikatet for en akkrediteret myndighed er certificeret af en højere certificeringsmyndighed i hierarkiet af identitetssystemet. Det akkrediterede center får således den "tekniske ret" til arbejdet og arver "tilliden" fra den organisation, der har udført akkrediteringen.

Et akkrediteret nøglecertificeringscenter er forpligtet til at opfylde alle forpligtelser og krav fastsat af lovgivningen i lokaliseringslandet eller af en organisation, der udfører akkreditering i sine egne interesser og i overensstemmelse med sine regler.

Proceduren for akkreditering og de krav, som et akkrediteret nøglecertificeringscenter skal opfylde, er fastsat af det relevante autoriserede organ i den stat eller organisation, der udfører akkreditering.

Nøglecertificeringsmyndigheden har ret til:

• levere tjenester til certificering af certifikater for elektronisk digital signatur
• vedligeholde offentlige nøglecertifikater
• modtage og verificere de oplysninger, der er nødvendige for at skabe en overensstemmelse mellem de oplysninger, der er angivet i nøglecertifikatet, og de fremsendte dokumenter.

Certificeringscentre i Rusland

For at udføre arbejde skal certificeringscentre i henhold til lov N 63-FZ af 6. april 2011 [1] være akkrediteret. [2] Denne lov regulerer forholdet inden for området brug af elektroniske signaturer i civilretlige transaktioner, levering af statslige og kommunale tjenester, udførelse af statslige og kommunale funktioner og udførelse af andre juridisk væsentlige handlinger. I forbindelse med den intensive udvikling af digitalisering af offentlige ydelser i 2021 er reglerne for certificeringscentrenes arbejde blevet væsentligt ændret.

Manipulationer med elektroniske signaturer i certificeringscentre i Den Russiske Føderation

• I Den Russiske Føderation bruges elektroniske signaturcertificeringscentre nogle gange til at forfalske elektroniske signaturer [3] . Ifølge revisorerne fra Regnskabskammeret i Den Russiske Føderation , efter massive ulovlige overførsler af pensionsopsparinger fra PFR til NPF , skal handlingerne fra akkrediterede certificeringscentre til overførsel af ansøgninger om ændring af forsikringsselskabet have særlig verifikation af kommunikationsministeriet [4] , faktum er, at kollegiet i Accounting Chamber ledet af Tatyana Golikova dømte nogle CA'er for ulovligt at bruge den forsikrede persons elektroniske signatur , samt udarbejde dokumenter uden deltagelse af en borger [5] . "En revision af Regnskabskammeret afslørede endnu en gang massive overtrædelser, selv i nærværelse af forbedrede foranstaltninger til at beskytte den elektroniske signatur," kommenterede præsidenten for APPF Sergey Belyakov [6] , desuden var beviserne for CA-manipulation med signaturer så overbevisende at PFR holdt op med at acceptere ansøgninger om overførsel af pensionsopsparing gennem certificeringscentre [7] . Pensionsfonden i Rusland kaldte hændelsen en konsekvens af pilotprojektet, men afviste ikke, at overførsler blev mulige, herunder gennem agenter, der samarbejdede med certificeringscentre [8] , "ikke holdbare" begrundelser kaldet en sådan holdning af PFR, formanden af Regnskabskammeret Tatyana Golikova [9] . Nogle eksperter hævdede, at masseforfalskning af elektroniske signaturer blev udført ved at genbruge kundens elektroniske signatur af attesteringsmyndigheden [10] . Som følge heraf udviklede Arbejdsministeriet efter mistanke om et samarbejde mellem CA og NPF'er et forslag om at udelukke certificeringscentre fra systemet for indsendelse af elektroniske ansøgninger om ændring af NPF'er fra borgere, som Finansministeriet og Ministeriet for Økonomisk Udvikling til. sendte negativ feedback og blokerede arbejdsministeriets initiativ som ulovligt [11] , men tilliden til russisk CA var uigenkaldeligt tabt [12] .
• En anden måde at manipulere elektroniske signaturer gennem en certificeringsmyndighed er, at klienten tilbydes en fjernudstedelse af et kvalificeret certifikat uden personlig kontakt mellem ansøgeren og medarbejderen i registreringsafdelingen i certificeringscentret , i dette tilfælde udstedes den elektroniske signatur eksternt baseret på ansøgerens dokumenter indsendt via internettet til certificeringsmyndigheden [13] . Som et resultat af sådanne handlinger, forårsaget, ifølge eksperter fra Garant -retssystemet , af det faktum, at " IT-funktioner i CA 's aktiviteter har forrang over dets juridiske essens ", kan den elektroniske signatur bruges af skruppelløse tredjeparter [14 ] . Det er uacceptabelt at udstede et elektronisk signaturcertifikat under en håndskrevet fuldmagt [15] .

Se også

• Rutoken
• VeriSign
• Lad os kryptere
• GlobalSign
• Certifikat tilbagekaldelsesliste

Noter

1. ↑ FEDERAL LOV om elektronisk signatur (som ændret den 24. februar 2021) . https://docs.cntd.ru/ . docs.cntd.ru (24. februar 2021). Dato for adgang: 22. maj 2021. (Russisk)
2. ↑ Akkreditering af certificeringscentre . digital.gov.ru _ digital.gov.ru (22. maj 2021). Dato for adgang: 22. maj 2021. (Russisk)
3. ↑ "PFR har suspenderet accept af ansøgninger om overførsel af opsparing til Storbritannien og NPF" 2008-2018 " Pension Fund of the Russian Federation " dateret 29. juni 2017
4. ↑ "Proceduren for overførsel af pensionsopsparing fra pensionsfonden indebærer risici, ifølge joint venturet" MIA Rossiya Segodnya dateret 27/06/2017.
5. ↑ "Borgere har ikke mulighed for at modtage ajourførte oplysninger, når de indgår en aftale med NPF'er" " Accounts Chamber of the Russian Federation ", 27. juni 2017
6. ↑ "En simpel elektronisk signatur beskytter ikke opsparing" gazeta.ru dateret 31/07/2017,
7. ↑ "PFR vil arbejde på en ny måde efter kritik af Regnskabskammeret" " Vedomosti " dateret 28. juni 2017
8. ↑ "Regnskabskammeret pegede på manipulationer med borgernes pensionsopsparing" " RBC " dateret 27. juni 2017
9. ↑ "Der blev afsløret massive forfalskninger under overførsel af pensionsopsparing" " Vedomosti " dateret 27. juni 2017
10. ↑ “Elektronisk signatur ude af tillid ” RBC nr. 108 (2604) (2306) 23. juni 2017: “Ifølge NAPF-rådgiver Valery Vinogradov bør en elektronisk signatur genereret i et certificeringscenter bruges én gang. Når det er brugt, skal centret fjerne det, siger han. "I slutningen af ​​december blev disse elektroniske signaturer fra kunder dog brugt en anden gang," siger eksperten .
11. ↑ "Arbejdsministeriet besluttede at komplicere overførslen af ​​pensionsopsparing" " Vedomosti " dateret 16. januar 2017
12. ↑ “NPF’er løste overgangsproblemet” Avis “Kommersant” nr. 239 af 22.12.2017, s. 10.
13. ↑ "Udstedelse af en elektronisk signatur uden ansøgerens personlige tilstedeværelse er i strid med loven" " Garant " af 7. december 2017
14. ↑ "Udstedelse af en elektronisk signatur uden personlig tilstedeværelse er i strid med loven" " Electronic Express ", 2018.
15. ↑ "Risici ved udstedelse af et elektronisk signaturcertifikat ved håndskrevet fuldmagt " Garant Company dateret 19. januar 2018.

Links

• Liste over certifikatmyndigheder efter land  (utilgængeligt link)
• CA'er i Curlie Link Directory (dmoz)
• Liste over rodcertifikater inkluderet i Firefox
• Oversigt over CA'er
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520