Получение сертификата x.509 и личная безопасность
Возможно ли получить сертификат x.509, самостоятельно создав пару ключей, а центру сертификации предоставив только открытый ключ?
На публичных серверах сертификатов, например http://www.trustcenter.de, предлагает создать сразу пару ключей. Мне кажется это как-то не очень конфиденциально и приватно, ведь они могут у себя оставить копию закрытого ключа, и теоретически, потом силовые органы могут потребовать его у этого
центра сертификации...
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Мэтт Блейз как-то сказал, что удостоверяющий центр из мира X.509 защитит вас от всех, от кого он не захочет брать денег. В общем это справедливое наблюдение, ведь крупные УЦ — это, прежде всего, коммерческие организации, где издание сертификатов — основной вид бизнеса.
Достоверность сертификата X.509 обеспечивает всего одна подтверждающая подпись — подпись самого УЦ. Здесь нет аккумуляции доверия, как PGP Web of Trust. Такая система может быть легко скомпрометирована: прямой взлом, подкуп, угроза могут заставить УЦ заверить поддельный сертификат, и Ваша программа его с аппетитом слопает (если Вы доверяете самому УЦ), потому что доверие наследуется только от одного издателя.
Что касается бесплатных сертификатов (и вообще сертификатов Class 1), с ними дело обстоит ещё хуже. Для выдачи коммерческих сертификатов (Class 2 и выше) применяются довольно сложные и весьма надёжные процедуры проверки личности пользователя, вплоть до того, что он должен лично прибыть в офис УЦ, предъявить минимум два различных удостоверения личности с фотографией, доказать, что имеет доступ к своему почтовому ящику, документально подтвердить все прочие сведения, входящие в сертификат, и только тогда УЦ заверит сертификат своей подписью. Хотя это не исключает возможность сговора злоумышленника и УЦ, однако делает почти невозможным несанкционированние получение злоумышленником сертификата на чужое имя.
Но процедура проверки личности для получения сертификатов Class 1 слишком проста — в большинстве случаев она вообще отсутствует. Пользователь через интернет запрашивает УЦ подписать сертификат с представленным именем и email. Имя удостоверяющий центр вообще не волнует; на email он высылает простой запрос, который пользователь должен подтвердить, пройдя по определённой ссылке. Вот и всё. Ничто не мешает злоумышленнику послать такой же запрос, перехватить письмо, отправленное УЦ в ящик пользователя, и самостоятельно выполнить подтверждение; в будущем останется только перехватывать направляемые пользователю письма.
В действительности, новый сервис PGPCorp — PGP Global Directory выполняет ровно ту же работу, но с ключами PGP. Однако, это лишь справочник, не претендующий на роль УЦ.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Да и не нужна она вообще в данном случае. Как "средняя температура больного по госпиталю".
А какие люди? "Простые пользователи"? А если простой пользователь работает с "не-WIndows" – OC? Он уже "непростым" что-ли становится? А если он разработчик ПО (допустим бесплатного), имеющий свой сервер (а не только сайт) в Интернете? Где грань между разными группами пользователей и их интересами?
У всех свои требования. Как их усреднить-то?
1. Со страницы http://parom.org/scripts/SSLclient.html я получил сертификат в виде файла client.pfx, файл мне прислали на почтовый ящик. Насколько я понял в данном случае произошла не генерация ключей на моем компьютере, а именно сам сервис прислал мне этот сертификат. После создания сертификата я на экране монитора получил страницу, с паролем к сертификату, а так же какой-то код, о назначении которого я не знаю. Скажите что это за код может быть и действительно ли в данном случае генерация закрытого ключа произошла не на моей машине?.
2. Я проинсталлировал этот сертификат и добавил его в хранилище сертификатов ОС. Но воспользоваться им не могу. С списке сертификатов Outlook Express (сервис – параметры – вкладка безопасность – сертификаты) сертификат появился. По кнопке «просмотр» установлены все политики применения, в том числе защищенная почта. Однако в том списке сертификатов, в котором производится выбор сертификатов для использования (сервис – учетные записи – свойства учетной записи – вкладка безопасность – выбрать) список пуст.
3. Как войти в хранилище сертификатов Windows?
Заранее спасибо, с уважением.
комментариев: 11558 документов: 1036 редакций: 4118
И сертификат, и открытый ключ, и закрытый. В отличие от того, как это делается правильно (см. начало топика). По правде говоря, некоторые УЦ генерируют коммерческие сертификаты высоких классов самостоятельно и передают их клиенту при личном визите. Но в данном случае эта практика ещё ненадёжней, чем даже использование паролей, сгенерированных онлайн, в критических приложениях.
Хотя этот сертификат и можно запросить через ssl-защищённое соединение, всё равно
а) ключевая пара генерируется сервером (возможность депонирования)
б) сертификат высылается в письме с паролем, указанным открытым текстом!
Стоит перехватить это письмо, и вся будущая переписка будет скомпрометирована. Т.е. этот сервис проваливает весь смысл S/MIME ещё в самом начале.
В итоге вся эта защита абсолютно иллюзорна. Поставщик не входит в число напрямую доверенных браузером, так что использование подобного сертификата не несёт и малейших удобств хотя бы от наследования доверия идентификации. С тем же успехом можете поставить себе помянутый X CA и выпустить самоподписанный сертификат, но так Вы хотя бы будете уверенны, что копии закрытого ключа ни у кого не осталось. Да и сам ключ сможете сделать хоть на 4096 бит. :)
Проверил. Пароля там не увидел — он письмом пришёл, а этот код — просто технические параметры сертификата плюс модуль RSA и цифровая подпись. Просто для красоты, никакого практического смысла эта писанина не несёт.
Импортировали его в хранилище личных сертификатов? Откройте Пуск > Настройка > Панель управления > Свойства обозревателя > Содержание > Сертификаты. Если во вкладке Личные Вашего сертификата нет, импортируйте его повторно, отметив в мастере импорта "Поместить все сертификаты в следующее хранилище", выбрав по кнопке Обзор "Личное".
Ещё одна возможная причина — у Вас может отставать системный таймер. В этом случае сертификат ещё как бы не вступил в действие. Проверьте, правильно ли установлено время и дата.