Структура цифрового сертификата

Лабораторная работа № 6. Создание удостоверяющих сертификатов для электронной почты

Введение

В большинстве почтовых программ, в частности в программах Outlook Express, Microsoft Outlook, Lotus Notes и др. включена возможность отправить шифрованное сообщение или/и снабдить отправляемое сообщение электронной цифровой подписью. Посылка подписанного сообщения требует наличия установленного на компьютере сертификата. Для того, чтобы отправить кому-либо зашифрованное сообщение необходимо, чтобы Ваш корреспондент (тот, кому Вы собираетесь послать сообщение) получил сертификат электронной цифровой подписи и прислал его Вам.

Структура цифрового сертификата

Помимо открытого ключа и имени, с которым ассоциирован ключ, сертификат содержит ряд других важных сведений.

Структура сертификата PKI

Каждый сертификат включает в себя данные о выдавшем его удостоверяющем центре (УЦ), необходимые для проверки подлинности. У каждого сертификата есть серийный номер и срок действия (по окончании этого срока сертификат, если он еще нужен, может быть продлен). Если сертификат оказался не нужен (или скомпрометирован) до окончания срока действия, он должен быть отозван в УЦ. Отозванный сертификат теряет юридическую силу.

Подлинность сертификата подтверждается цифровой подписью УЦ. УЦ подписывает свои сертификаты (то есть, вычисляет хэш-значение сертификата и шифрует его своим секретным ключом).

Проверить подлинность подписи УЦ можно расшифровав подпись сертификата с помощью открытого ключа УЦ. А как проверить подлинность открытого ключа УЦ? Публичный ключ УЦ, выдавшего сертификат, может быть заверен сертификатом УЦ более высокого уровня (так образуется цепочка сертификатов, называемая путем сертификации).