Hitelesítésszolgáltató

A kriptográfiában a hitelesítés- szolgáltató vagy hitelesítésszolgáltató ( eng.  Certification Authority, CA ) olyan fél (részleg, szervezet), amelynek őszintesége tagadhatatlan, és a nyilvános kulcs széles körben ismert. A hitelesítésszolgáltató feladata a titkosítási kulcsok elektronikus aláírási tanúsítványokkal történő hitelesítése .

Technikailag a CA a globális címtárszolgáltatás részeként valósul meg, és felelős a felhasználók kriptográfiai kulcsainak kezeléséért. A nyilvános kulcsokat és a felhasználókra vonatkozó egyéb információkat a hitelesítésszolgáltatók digitális tanúsítványok formájában tárolják .

A tanúsító hatóság szükségessége

Az aszimmetrikus titkosítás lehetővé teszi, hogy egy kulccsal titkosítson, és egy másik kulccsal visszafejtse. Így az egyik kulcsot (a visszafejtő kulcsot, "titkot") a fogadó fél tartja, a másodikat (titkosító kulcsot, "nyitott") pedig egy közvetlen kommunikációs munkamenet során, postai úton, az "elektronikus oldalon" találhatja meg. faliújság", stb. De egy ilyen kommunikációs rendszer továbbra is sebezhető a támadóval szemben, aki Alice -nek adja ki magát , de a nyilvános kulcsát adja meg, nem az övét.

A probléma megoldása érdekében Alice nyilvános kulcsát a hozzá tartozó információkkal (név, lejárati dátum stb.) együtt egy tanúsító hatóság írja alá . Természetesen feltételezzük, hogy a tanúsító hatóság őszinte, és nem írja alá a támadó kulcsát. És a második követelmény: a hitelesítésszolgáltató nyilvános kulcsa olyan széles körben el van terjesztve, hogy még a kapcsolat létrejötte előtt Alice és Bob birtokában lesz ez a kulcs, és a támadó nem tud mit kezdeni vele.

Ha a hálózat nagyon nagy, akkor a tanúsító hatóság terhelése nagy. Ezért a tanúsítványok láncokat alkothatnak: a gyökértanúsítvány-szolgáltató írja alá a vállalat biztonsági szolgálatának kulcsát, a vállalat pedig az alkalmazottak kulcsait. A lánc minden tagjának becsületesnek kell lennie, és elég, ha a gyökérközpontnak széles körben ismert kulcsa van.

Végül időről időre megjelennek az előfizetők privát kulcsai. Ezért, ha lehetséges közvetlenül kommunikálni a tanúsító hatósággal, ez utóbbinak képesnek kell lennie arra, hogy visszavonja "beosztottjai" tanúsítványait.

Abban az esetben, ha van egy olcsó nyílt kommunikációs csatorna (Internet) és egy drága titkos (személyes találkozó), vannak önaláírt tanúsítványok . A hagyományosakkal ellentétben nem lehet távolról felidézni őket. A gyökértanúsítványok technikailag is önaláírtak.

Alapvető információk

A hitelesítésszolgáltató a felhasználók kriptográfiai kulcsainak kezeléséért felelős komponens.

A nyilvános kulcsokat és a felhasználókra vonatkozó egyéb információkat a tanúsító hatóságok a következő szerkezetű digitális tanúsítványok formájában tárolják:

• a tanúsítvány sorszáma;
• az elektronikus aláírási algoritmus objektumazonosítója ;
• a tanúsító hatóság neve;
• a tanúsítvány érvényességi ideje;
• a tanúsítvány tulajdonosának neve (a tanúsítványt birtokló felhasználó neve );
• a tanúsítvány tulajdonosának nyilvános kulcsai (több kulcs is lehet);
• a tanúsítvány tulajdonosának nyilvános kulcsaihoz társított algoritmusok objektumazonosítói;
• a hitelesítés-szolgáltató titkos kulcsával előállított elektronikus aláírás (a tanúsítványban tárolt összes információ hash eredménye aláírásra kerül).

Az akkreditált központok között az a különbség, hogy szerződéses kapcsolatban áll egy magasabb tanúsító hatósággal, és nem az első tulajdonosa az önaláírt tanúsítványnak a hitelesített gyökértanúsítványok listáján. Az akkreditált hatóság gyökértanúsítványát az identitásrendszer hierarchiájában egy magasabb tanúsító hatóság hitelesíti. Így az akkreditált központ megkapja a munka "technikai jogát", és örökli a "bizalmat" az akkreditációt végző szervezettől.

Az akkreditált kulcshitelesítési központ köteles teljesíteni minden olyan kötelezettséget és követelményt, amelyet a telephely szerinti ország jogszabályai vagy az akkreditációt végző szervezet saját érdekében és szabályai szerint állapít meg.

Az akkreditáció eljárását és azokat a követelményeket, amelyeknek egy akkreditált kulcshitelesítési központnak meg kell felelnie, az állam vagy az akkreditációt végző szervezet illetékes szerve határozza meg.

A kulcshitelesítés-szolgáltatónak joga van:

• szolgáltatásokat nyújtanak az elektronikus digitális aláírás tanúsítványainak hitelesítésére
• nyilvános kulcsú tanúsítványokat karbantartani
• megkapja és ellenőrzi a kulcstanúsítványban meghatározott információk és a benyújtott dokumentumok közötti megfeleltetéshez szükséges információkat.

Tanúsítási központok Oroszországban

A munka elvégzéséhez a tanúsító központoknak a 2011. április 6-i N 63-FZ törvény szerint [1] akkreditálni kell. [2] Ez a törvény szabályozza az elektronikus aláírás polgári jogi ügyletekben történő felhasználása, az állami és önkormányzati szolgáltatások nyújtása, az állami és önkormányzati feladatok ellátása, valamint egyéb jogilag jelentős cselekmények végrehajtása terén fennálló kapcsolatokat. A közszolgáltatások digitalizálásának 2021-es intenzív fejlesztése kapcsán jelentősen módosultak a tanúsító központok munkájára vonatkozó előírások.

Elektronikus aláírásokkal végzett manipulációk az Orosz Föderáció tanúsító központjaiban

• Az Orosz Föderációban az elektronikus aláírás-hitelesítési központokat időnként elektronikus aláírások meghamisítására használják [3] . Az Orosz Föderáció Számviteli Kamara könyvvizsgálói szerint a nyugdíj-megtakarításoknak a PFR-ből az NPF -be történő tömeges illegális átutalása után az akkreditált tanúsító központok tevékenységét a biztosítóváltási kérelmek átadására vonatkozóan a Kommunikációs Minisztériumnak külön ellenőriznie kell. [4] , a tény az, hogy a Tatyana Golikova vezette számviteli kamara kollégium elmarasztalt egyes CA-kat a biztosított elektronikus aláírásának jogellenes felhasználása , valamint állampolgár részvétele nélküli dokumentumok elkészítése miatt [5] . „A számviteli kamara ellenőrzése ismét súlyos jogsértéseket tárt fel még az elektronikus aláírás védelmét szolgáló fokozott intézkedések megléte mellett is” – kommentálta az APPF elnöke, Szergej Beljakov [6] , ráadásul a CA aláírásokkal történő manipulációjának bizonyítékai is olyan meggyőzőek. hogy a PFR beszüntette a nyugdíj-megtakarítások tanúsító központokon keresztüli átutalására irányuló kérelmek elfogadását [7] . Az Oroszországi Nyugdíjpénztár a kísérleti projekt következményének nevezte az esetet, de nem tagadta, hogy lehetségessé vált az átutalás, többek között a tanúsító központokkal együttműködő ügynökökön keresztül [8] , a „nem tartható” indoklás a PFR ilyen álláspontjának nevezte az elnököt. Tatyana Golikova [9] a Számviteli Kamara tagja . Egyes szakértők azzal érveltek, hogy az elektronikus aláírások tömeges hamisítását az ügyfél elektronikus aláírásának a hitelesítő hatóság általi újrafelhasználásával hajtották végre [10] . Ennek eredményeként a CA és az NPF -ek közötti összejátszás gyanúja miatt a Munkaügyi Minisztérium javaslatot dolgozott ki a tanúsító központok kizárására az állampolgárok NPF-váltására vonatkozó elektronikus kérelmek benyújtására szolgáló rendszerből , amelyhez a Pénzügyminisztérium és a Gazdaságfejlesztési Minisztérium negatív visszajelzést küldött, és törvénytelenként blokkolta a Munkaügyi Minisztérium kezdeményezését [11] , azonban az orosz CA-ba vetett bizalom helyrehozhatatlanul elveszett [12] .
• Az elektronikus aláírások hitelesítési hatóságon keresztüli manipulálásának másik módja az, hogy az ügyfélnek felajánlják a minősített tanúsítvány távoli kibocsátását anélkül, hogy a kérelmező és a hitelesítési központ regisztrációs részlegének alkalmazottja személyesen érintkezne , ebben az esetben az elektronikus aláírás kiadásra kerül. távolról, a kérelmező interneten keresztül a tanúsító hatósághoz benyújtott dokumentumai alapján [13] . Az ilyen cselekmények eredményeként, amelyet a Garant jogrendszer szakértői szerint az okoz, hogy „az informatikai funkciók a CA tevékenységében elsőbbséget élveznek annak jogi lényegénél ”, az elektronikus aláírást gátlástalan harmadik személyek használhatják [14] ] . Elfogadhatatlan az elektronikus aláírási tanúsítvány kézi meghatalmazás alapján történő kiállítása [15] .

Lásd még

• Rutoken
• VeriSign
• Titkosítsuk
• GlobalSign
• Tanúsítvány visszavonási lista

Jegyzetek

1. ↑ SZÖVETSÉGI TÖRVÉNY az elektronikus aláírásról (a 2021. február 24-i módosítással) . https://docs.cntd.ru/ . docs.cntd.ru (2021. február 24.). Hozzáférés időpontja: 2021. május 22. (Orosz)
2. ↑ Tanúsító központok akkreditációja . digital.gov.ru _ digital.gov.ru (2021. május 22.). Hozzáférés időpontja: 2021. május 22. (Orosz)
3. ↑ „A PFR felfüggesztette az Egyesült Királyságba és az NPF-be történő megtakarítások átutalására irányuló kérelmek elfogadását” 2008-2018 „ Az Orosz Föderáció nyugdíjalapja ”, 2017. június 29.
4. ↑ „A nyugdíj-megtakarítások Nyugdíjalapból történő átutalásának eljárása a vegyesvállalat szerint kockázatokat rejt magában” MIA Rossiya Segodnya, 2017.06.27.
5. ↑ „A polgároknak nincs lehetőségük naprakész információkat kapni az NPF-ekkel való megállapodás megkötésekor” „ Az Orosz Föderáció Számlakamara ” , 2017. június 27.
6. ↑ "Egy egyszerű elektronikus aláírás nem védi meg a megtakarításokat" gazeta.ru , 2017.07.31 .,
7. ↑ "A PFR új módon fog működni a Számviteli Kamara kritikája után" " Vedomosti ", 2017. június 28-án
8. ↑ "A Számlakamara rámutatott az állampolgárok nyugdíj-megtakarításaival kapcsolatos manipulációkra" " RBC " 2017. június 27-én
9. ↑ „Tömeges hamisítások derültek ki a nyugdíj-előtakarékosság átutalása során” „ Vedomosti ” 2017. június 27-én
10. ↑ „Ellenőrzött elektronikus aláírás ” RBC No. 108 (2604) (2306), 2017. június 23.: „Valerij Vinogradov, a NAPF tanácsadója szerint a hitelesítési központban generált elektronikus aláírást egyszeri alkalommal kell használni. Használat után a központnak el kell távolítania, mondja. „December végén azonban az ügyfelek ezen elektronikus aláírásait másodszor is használták” – állítja a szakember .
11. ↑ „A Munkaügyi Minisztérium úgy döntött, hogy bonyolítja a nyugdíj-megtakarítások átutalását” „ Vedomosti ” 2017. január 16-án
12. ↑ „Az NPF-ek megoldották az átállási problémát” „Kommersant” újság, 239. szám, 2017.12.22., 10. o.
13. ↑ „A kérelmező személyes jelenléte nélküli elektronikus aláírás kiadása törvénysértő” „ Garant ” 2017. december 7.
14. ↑ „Az elektronikus aláírás személyes jelenlét nélküli kiadása törvénysértő” „ Elektronikus expressz ”, 2018.
15. ↑ "Elektronikus aláírási tanúsítvány kézzel írt meghatalmazással történő kiadásának kockázatai " Garant Company 2018. január 19-én.

Linkek

• A tanúsító hatóságok listája országok szerint  (elérhetetlen link)
• CA -k a Curlie Link könyvtárban (dmoz)
• A Firefoxban található gyökértanúsítványok listája
• A CA-k áttekintése
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520