2015-04-01
863
Централизованная модель сертификации — иерархическая. В ее основе находится один уполномоченный орган сертификации. Такой орган называется корневым центром сертификации.
Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными центрами сертификации.
Доверенные центры тоже могут удостоверять чужие открытые ключи своими закрытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.
Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:
а) установить наличие сертификата, удостоверенного электронной подписью центра сертификации;
б) проверить действительность подписи центра сертификации в вышестоящем центре сертификации;
в) если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого центра сертификации.
|
|
|
Рассмотрим пример. Допустим, в государстве функции корневого центра сертификации возложены на Центральный банк. Предположим, что Центральный банк, не способный справиться со всем электронным документооборотом страны, открыл несколько доверенных центров сертификации на базе уполномоченных банков: “Бета-Банк”, “Гамма-Банк”, “Дельта-Банк” и т. д. Допустим, что “Бета-Банк”, чей авторитет весьма высок в Тульской области, открыл на базе своего местного филиала доверенный центр сертификации в г. Тула. В этом случае юридические и физические лица Тульской области могут использовать его сертификаты при взаимодействии друг с другом. Однако, когда им придется взаимодействовать с партнером из Ярославской области, тот может не выразить доверие к электронному сертификату, выданному Тульским филиалом “Бета-Банка”. В этом случае он проверит сертификат самого филиала по сертификату, выданному “Бета-Банком”. Если он никогда с этим банком дел не имел, то может не выразить доверие и этому сертификату. Тогда он проверит сертификат, выданный корневым центром — Центробанком.
Такую проверку надо выполнить только один раз. Убедившись в правомочности доверенного центра сертификации, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в тех случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное обеспечение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.
|
|
|
§ В связи с тем, что в настоящее время как в России, так и в мире структура органов сертификации электронной подписи только начинает складываться, существуют многочисленные самодеятельные, неуполномоченные и, возможно, фиктивные “центры сертификации”. Опрометчиво выразив доверие подобному центру, можно неумышленно настроить свое программное средство таким образом, что оно перестанет предупреждать о негодности сертификатов, заверенных данным органом, и сертификатов, выданных его уполномоченными органами.
Столкнувшись с сертификатом, достоверность которого нельзя проследить до корневого центра сертификации, категорически нельзя выражать ему доверие!
