Лабораторная работа № 6. Создание удостоверяющих сертификатов для электронной почты
Введение
В большинстве почтовых программ, в частности в программах Outlook Express, Microsoft Outlook, Lotus Notes и др. включена возможность отправить шифрованное сообщение или/и снабдить отправляемое сообщение электронной цифровой подписью. Посылка подписанного сообщения требует наличия установленного на компьютере сертификата. Для того, чтобы отправить кому-либо зашифрованное сообщение необходимо, чтобы Ваш корреспондент (тот, кому Вы собираетесь послать сообщение) получил сертификат электронной цифровой подписи и прислал его Вам.
Структура цифрового сертификата
Помимо открытого ключа и имени, с которым ассоциирован ключ, сертификат содержит ряд других важных сведений.
Структура сертификата PKI
Каждый сертификат включает в себя данные о выдавшем его удостоверяющем центре (УЦ), необходимые для проверки подлинности. У каждого сертификата есть серийный номер и срок действия (по окончании этого срока сертификат, если он еще нужен, может быть продлен). Если сертификат оказался не нужен (или скомпрометирован) до окончания срока действия, он должен быть отозван в УЦ. Отозванный сертификат теряет юридическую силу.
Подлинность сертификата подтверждается цифровой подписью УЦ. УЦ подписывает свои сертификаты (то есть, вычисляет хэш-значение сертификата и шифрует его своим секретным ключом).
Проверить подлинность подписи УЦ можно расшифровав подпись сертификата с помощью открытого ключа УЦ. А как проверить подлинность открытого ключа УЦ? Публичный ключ УЦ, выдавшего сертификат, может быть заверен сертификатом УЦ более высокого уровня (так образуется цепочка сертификатов, называемая путем сертификации).