2014-02-02
325
Метод достижения одновременно аутентичности и целостности при распределении открытых ключей заключается в использовании сертификатов.
Система, основанная на сертификатах, предполагает, что имеется центральный орган (ЦО), как и в случае распределения секретных ключей. Далее предполагается, что каждый пользователь может осуществлять безопасное взаимодействие с ЦО. Для этого требуется, чтобы у каждого пользователя был открытый ключ ЦО – ЕЦО. Тогда каждый пользователь А может зарегистрировать в ЦО свой открытый ключ ЕА. Поскольку ЕД является открытым, это можно сделать по почте, по открытому каналу электросвязи и т.п.
Обычно при регистрации в ЦО А будет следовать определенной аутентификационной процедуре. Альтернативным вариантом может быть обработка регистрации системой, имеющей древовидную структуру: ЦО выдает сертификаты местным представителям, которые в дальнейшем действуют в качестве посредников в процессе регистрации пользователя на более низких уровнях иерархии.
|
|
|
В любом случае, в ответ А получает сертификат, подписанный ЦО и содержащий ЕА, т.е. ЦО формирует сообщение М, содержащее ЕА, идентификационную информацию для А (IА), период действия сертификата и т.п.
Затем ЦО вычисляет CERTА = DЦО(М), который и становится сертификатом A. CERTA делается общедоступным документом, который содержит ЕА и одновременно аутентифицирует его, поскольку сертификат подписан ЦО.
Сертификаты могут распространяться ЦО, пользователями или использоваться в иерархической системе. Включение срока действия является обобщением временного штампа, что обеспечивает защиту от использования скомпрометированных ключей.
Однако, проблема устаревших данных не может быть решена только с помощью временных штампов, поскольку сертификат может стать недействительным до истечения срока его действия вследствие компрометации или по административным причинам. Поэтому, если сертификаты хранятся у пользователей (а не выдаются каждый раз ЦО при их использовании), ЦО должен время от времени публиковать списки аннулированных сертификатов.
Некоторые свойства рассмотренных схем могут быть объединены в подход, известный под названием "телефонный справочник", с использованием электронного эквивалента, такого как гибкий диск, содержащий сертификаты. Это облегчит использование, поскольку пользователь сможет быстро связаться с другим, очень быстро получая доступ к сертификату последнего.
