Центр сертификации
В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации реализован как компонент глобальной службы каталогов и отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.
Потребность в центре сертификации
Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.
Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.
Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.
Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».
На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты также технически являются самозаверенными.
Основные сведения
Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.
Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:
- серийный номер сертификата;
- объектный идентификатор алгоритма электронной подписи;
- имя удостоверяющего центра;
- срок действия сертификата;
- имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
- открытые ключи владельца сертификата (ключей может быть несколько);
- объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
- электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).
Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.
Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.
Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.
Центр сертификации ключей имеет право:
- предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
- обслуживать сертификаты открытых ключей
- получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.
Удостоверяющие центры в России
Для осуществления работы удостоверяющие центры, согласно закону N 63-ФЗ от 6 апреля 2011 года,[1], должны быть аккредитованы.[2] Указанный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. В связи с интенсивным развитием цифровизации государственных услуг в 2021 году регламент работы удостоверяющих центров существенно изменен.
Манипуляции с электронными подписями в центрах сертификации РФ
- В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей[3]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи[4], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформлении документов без участия гражданина[5]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков[6], причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры[7]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами[8], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова[9]. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента[10]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную[11], однако, доверие к российским УЦ было безвозвратно потеряно[12].
- Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации[13]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами[14]. Недопустим выпуск сертификата электронной подписи по рукописной доверенности[15].
См. также
- VeriSign
- Let's Encrypt
- GlobalSign
- Certificate Revocation List
Примечания
- ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года) . https://docs.cntd.ru/. docs.cntd.ru (24 февраля 2021). Дата обращения: 22 мая 2021.
- Аккредитация удостоверяющих центров . digital.gov.ru. digital.gov.ru (22 мая 2021). Дата обращения: 22 мая 2021.
- «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» 2008—2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017
- «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.
- «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017
- «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,
- «ПФР будет работать по-новому после критики Счетной палаты» «Ведомости» от 28 июня 2017
- «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» «РБК» от 27 июня 2017
- «Выявлены массовые фальсификации при переводе пенсионных накоплений» «Ведомости» от 27 июня 2017
- «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».
- «Минтруд решил осложнить перевод пенсионных накоплений» «Ведомости» от 16 января 2017
- «НПФ решили проблему перехода» Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.
- «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» «Гарант» от 7 декабря 2017
- «Оформление электронной подписи без личного присутствия нарушает закон» «Электронный экспресс», 2018.
- «Риски выпуска сертификата электронной подписи по рукописной доверенности» Компания «Гарант» от 19 января 2018.
Ссылки
- Перечень центров сертификации по странам (недоступная ссылка)
- Удостоверяющие центры в каталоге ссылок Curlie (dmoz)
- Список корневых сертификатов, включенных в Firefox
- Обзор Удостоверяющих Центров