id: Гость   вход   регистрация
текущее время 05:49 13/12/2019
создать
просмотр
редакции
ссылки

Создание удостоверяющих сертификатов для электронной почты

Оригинал статьи размещён на внутреннем сайта интернет-
провайдера "МИПТ-телеком" [МФТИ] telecom.mipt.ru


Оглавление документа:

Для чего нужен персональный сертификат?


Необходимость в персональном сертификате обычно возникает в случае, если вы хотите, чтобы кто-нибудь прислал вам конфиденциальную информацию по электронной почте или, наоборот, сами хотите отправить такую информацию. Самый простой пример: вы забыли свой пароль для доступа к сети и хотите, чтобы вам его сообщили по электронной почте.


Как мы (получатель вашего почтового сообщения) можем быть уверены, что это письмо написали именно вы, а не злоумышленник, подменивший адрес отправителя? Только если письмо подписано вашим персональным цифровым сертификатом (при условии его надлежащего хранения вами и использования пароля для доступа к нему, конечно). Как мы можем безопасно переслать вам необходимый пароль? Только зашифровав своё сообщение вашим ключом. В этом случае только вы сможете его прочитать (при надлежащих правилах хранения, опять-таки).


Таким образом и обеспечивается защищённый и достоверный обмен информацией. Конечно, систем шифрования сообщений и их подписи существует довольно много. Все они имеют свои достоинства и недостатки. Чем же хорош именно цифровой сертификат X.509 от Thawte?


Цифровой сертификат Thawte хорош простотой получения и уже встроенными в операционную систему и распространённое ПО средствами его использования. Т.е. для того, чтобы начать использовать защищённые и достоверные способы обмена сообщениями вам не нужно будет устанавливать какое-либо дополнительное программное обеспечение на свой компьютер. Такие популярные программные продукты, как Microsoft Outlook, Microsoft Outlook Express, Mozilla Thunderbird, Mozilla SeaMonkey и многие другие уже могут использовать цифровые серитфикаты. К тому же, используя сертификаты Thawte вы не будете получать сообщений, предупреждающих о ненадёжности этих сертификатов, как это может происходить при использовании сертификатов от других удостоверяющих центров и, тем более, самоподписанных сертификатов.

Как получить персональный сертификат?


Получение персонального сертификата состоит из четырёх основных шагов: регистрации на севере, получения первичного (анонимного) сертификата, подтверждения своей личности и получения окончательного персонального цифрового сертификата. Прохождение этих шагов займёт время порядка получаса. Приготовьтесь.


Для создания собственного сертификата пройдите по адресу https://www.thawte.com/secure-.....tificates/index.html и нажмите кнопку Join, расположенную справа вверху. Должно появится всплывающее окно в котором для начала нужно согласится с условиями использования сертификатов Thawte нажав кнопку Next.


На следующей странице нужно ввести идентифицирующую вас информацию, а именно:



Вводите информацию внимательно и точно, т.к. в дальнейшем изменить её будет уже невозможно.

 (10 Кб)

На следующей странице введите ваш адрес электронной почты, который будет одновременно и вашим логином на сервере Thawte. В дальнейшем, если у вас появится новый адрес электронной почты, то вам не нужно будет заново регистрироваться на сервере, вы сможете легко добавить его к вашей учётной записи. (7 Кб)

Затем нужно выбрать предпочтительный для вас язык и кодировку. Рекомендуется выбирать русский язык (Russian) и кодировку UTF-8. Не смотрите на то, что в выпадающем списке есть кириллическая кодировка Cyrillic ISO-8000-1 — она мало где используется и имеет очень ограниченную поддержку. (6 Кб)

Далее, необходимо задать пароль, по которому вы будете получать доступ к своей учётной записи на сервере Thawte. Там вы сможете изменять некоторую информацию о себе, генерировать новые цифровые сертификаты, загружать и удалять ранее созданные. Сохранность этого пароля крайне важна, т.к. любой, кто сможет открыть учётную запись, сможет скомпрометировать ваши цифровые сертификаты. Поэтому использовать в качестве пароля своё имя, дату рождения и другую легко подбираемую информацию крайне не рекомендуется. Лучше всего использовать какой-нибудь генератор паролей. Например, есть общедоступный онлайн-генератор на сайте http://www.pctools.com/guides/password/. Или же можно использовать бесплатную и очень хорошую программу для хранения и генерации паролей с сайта http://www.pascom.ru/. (На случай, если вы придумаете настолько сложный пароль, что сами его забудете, предназначена следующая страничка.) (5 Кб)

На этой странице надо указать не меньше пяти вопросов и ответов, на которые вы, и только вы, знаете ответы, причём такие, которые точно не забудете. Если вы потеряете свой пароль от учётной записи, то процедура восстановления его будет выглядеть следующим образом: вам зададут эти вопросы и только в случае полного совпадения всех ответов на вопросы (даже с учётом регистра букв) вы получите новый пароль. Поэтому отнеситесь к этому списку внимательно и для избежания недоразумений с обработкой кодировок как в браузере, так и базе данных Thawte, все вопросы и ответы пишите латинскими буквами. Например, можно использовать такие вопросы:



...и другие подобные вопросы, ответы на которые будут содержать желательно только цифры или ещё и латинские буквы. Транслитерацию использовать не желательно, т.к. вы можете забыть какими именно буквами вы написали Й, Ш, Щ, Я и пр., а так же в каком регистре. Лучше всего использовать номера, которые вы или всегда помните или при необходимости можете за конечное время вспомнить, посмотреть, восстановить. Ну, и понятное дело, что очень желательно, чтобы эти ответы знали или могли посмотреть только вы.

 (8 Кб)

На этой странице вам предоставляется возможность последний раз проверить правильность введённой информации, и, при необходимости её изменить, нажать кнопку Back. Также есть возможность распечатать эту информацию и положить в сейф. Если же у вас нет сейфа или вы не уверены в его абсолютной надёжности, то лучше этого не делать. После нажатия кнопки Next вы перейдёте к последнему шагу – проверке адреса электронной почты. (11 Кб)

Здесь вам сообщается, что дальнейшие инструкции были отправлены вам по указанному адресу электронной почты и вам остаётся только закрыть это окно и ждать прихода сообщения. (5 Кб)


Вам должно прийти сообщение примерно такого содержания:


According to our records you have just submitted a new email address
for verification by Thawte. By following these instructions you
will prove that you can read email sent to user@mail.mipt.ru.

Please point your browser at:


https://www.thawte.com/....ng.exe? Magic=Gj7NeLeHWx

You may be asked for a username and password. Your username is your
Thawte ID. Your password is the password you chose during the
enrollment process for Thawte personal certification.

Здесь сообщается, что сервер Thawte хочет проверить вашу возможность читать сообщения, посланные по указанному адресу электронной почты, и для подтверждения таковой вам надо перейти по указанной ссылке.


При попытке обращения по этой ссылке вы должны будете ввести логин и пароль, которые указали при регистрации. Логин совпадает с вашим адресом электронной почты, только должен вводиться исключительно заглавными буквами. Пароль нужно указывать тот, который вы выбирали при регистрации.


Если вы после этого попали на страницу своей учётной записи на сервере Thawte, поздравляем! Вы успешно завершили процедуру регистрации. Можете начинать пользоваться доверенными цифровыми сертификатами для передачи сообщений электронной почты!

Генерация персонального цифрового сертификата.


После того, как вы получили контрольное сообщение и зашли со своим логином и паролем по указанной в сообщении ссылке, вы попадаете на страницу своей учётной записи. Первое и необходимое действие, которое вам надо совершить — это создать анонимный сертификат. Почему анонимный? Потому, что в этом сертификате не будет указано ваше имя. Единственное, что он будет удостоверять, так это то, что сообщения электронной почты были действительно отправлены от обладателя указанного в сертификате адреса электронной почты. Для внесения в сертификат вашего имени и фамилии вам потребуется удостоверить свою личность. А пока потренируемся в получении и использовании сертификатов. Нажмём на кнопку Request для получения сертификата X.509. (4 Кб)

После нажатия на эту кнопку должно появится всплывающее окно с таким содержанием. В нём предлагается выбрать совместно с каким программным продуктом вы будете использовать новый сертификат. На качества самого сертификата выбранный тут пункт никак не повлияет и в дальнейшем его можно будет использовать и с другими программами, не нужно для каждого приложения генерировать свой собственный сертификат. Выбранный тут пункт повлияет только на процесс установки созданного сертификата на ваш компьютер. Дело в том, что Thawte не присылает сертификаты в виде файла, а запускает процесс их инсталляции прямо из браузера. Если же вы не хотите использовать ни один из перечисленных тут продуктов в дальнейшем, вам всё равно единожды его придётся использовать хотя бы для получения сертификата. Поэтому, если вы сейчас работаете с браузером Microsoft Internet Explorer, то выберите его. Если же браузер из семейства Mozilla, то выберите его. Если же какой-то другой, то временно переключитесь в один из вышеназванных. (4 Кб)

В следующем окне ничего не остаётся, как просто нажать на кнопку Next. (5 Кб)

Аналогично, и тут. (6 Кб)

В этом окне вам предлагается решить, хотите ли вы открывать свою учётную запись Thawte не по паролю, а по выданному вам сертификату. Т.е. вам не придётся вводить пароль, а сервер Thawte будет проверять, установлен ли в вашем браузере ваш личный сертификат. Конечно, если вы правильно пользуетесь сертификатом, то вам всё равно придётся вводить пароль для его расшифровки, но это один и часто используемый вами пароль, который запомнить будет проще, нежели специальный пароль для сайта.


Примечание: пользователи браузеров SeaMonkey (так теперь называется Mozilla Suite) и Mozilla Firefox могут воспользоваться возможностью единоразового ввода мастер-пароля при запуске программы, который сделает доступными все сохранённые зашифрованные пароли. Чтобы закрыть доступ к паролю сертификата и ко всем прочим сохранённым паролям, достаточно закрыть программу.

 (6 Кб)

На этом этапе настоятельно рекомендуется нажать на кнопку Accept, если вы не являетесь специалистом в цифровых сертификатах. В противном случае вам будет предложен большой список опций и возможностей, которые будут включены в сертификат, но выбирать их надо со знанием дела и с большой осторожностью, зная что каждая из них значит. Не любая возможная комбинация этих опций приведёт к созданию работоспособного сертификата, так же как и выбор всех возможных опций. Если уж вы нажали кнопку Configure, то лучше всего будет нажать на клавишу Backspace на клавиатуре для возврата на этот пункт и выбора кнопки Accept. (5 Кб)

Теперь выберите длину ключа. Этот пункт требуется в случае законодательных ограничений на допустимую стойкость криптографических ключей. В России подобных ограничений нет, поэтому разумно выбрать ключ предельной длины (в зависимости от используемого браузера и операционной системы, это может быть 2048 или 4096 бит). (6 Кб)

Окончательная проверка правильности всех указанных данных, после которой в них уже нельзя будет внести изменения. Если вся указанная информация верна и вы действительно хотите создать ключ, содержащий эти данные, то нажмите кнопку Finish. (10 Кб)

Эта страница, так же, как и в случае регистрации на сервере, сообщает, что дальнейшие инструкции будут направлены вам по электронной почте. Остаётся только закрыт это окно браузера и ждать прихода сообщения. (10 Кб)


Сначала к вам должно прийти сообщение с темой "Certificate Requested" от "Thawte Personal Cert System <email-certs@thawte.com>", которое начинается так:


Hi!
Thanks for requesting a certificate from us. We will issue
it as soon as possible and notify you by email when it is
done.

В нём вас благодарят за использование их сервиса и сообщают, что сертификат будет выслан позднее, как только он будет издан.


После того как процедура создания сертификата успешно завершена приходит сообщение с темой "Thawte Personal Cert Issued" от "Thawte Certificate Issuer <email-certs@thawte.com>", в котором сообщается примерно следующее:


Hello,

This is an automated message to let you know that we have just
issued your personal certificate. You can retrieve it at:


https://www.thawte.com/....serial=130751883302519549410

Сертификат выпущен, и вы можете его забрать по указанной ссылке. Ссылку эту надо открывать в том браузере, который был выбран на первом шаге процедуры запроса сертификата, иначе установить его не удастся. Конечно, для доступа к учётной записи придётся ввести ваш логин и пароль.

Подтверждение вашей личности (необязательный этап)


Теперь осталось только сделать так, чтобы вы могли внести своё имя в персональный цифровой сертификат. Для этого нужно открыть в параметрах учётной записи страницу редактирования личной информации: filehttps://www.thawte.com/cgi/per.....general/editinfo.exe. (13 Кб)

На этой странице нужно ввести номер своего паспорта без пробелов и других знаков, просто 10 цифр подряд. На следующей строчке указать название дополнительного документа, который собираетесь предъявить при процедуре удостоверения вашей личности, например, это могут быть водительские права (driver's license) или другой документ государственного образца с фотографией. И, наконец, введя день, месяц и год своего рождения, нажать кнопку Update.


Теперь осталось выбрать из списка уполномоченных Thawte лиц тех, кто находится ближе к вам, и связаться с ними для уточнения времени и места встречи, чтобы они могли просмотреть ваши документы, сделать ксерокопии их заглавных страниц и выдать вам некоторое количество авторизационных баллов. По достижении 50 баллов вы сможете выпустить сертификат с указанным в нём вашим именем.


 
— vital (17/12/2007 08:00)   <#>
непонятно насчет баллов – что значит некоторое кол-во? Выдадут 50 баллов или меньше? Если меньше, то как их кол-во можно увеличить до 50?
— Observer (17/12/2007 11:16)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Вероятно, этот вопрос лучше всего задать уполномоченному Thawte, о котором пишется в последнем абзаце. Наверняка он не откажется озвучить "прайслист" – важность документа(ов) / вес баллов.
— SATtva (17/12/2007 20:25)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092

Каждый уполномоченный (в терминологии Thawte они называются "нотариусами", но не следует путать их с государственными нотариусами, предоставляющими нотариальные услуги) выдаёт некоторое количество баллов (конкретно от 10 до 35) в зависимости от количества уже выданных им подтверждений.

Обратиться к нескольким разным "нотариусам". Набрав 100 баллов, Вы сами станете нотариусом. Также есть альтернативный способ получения баллов путём обращения к двум доверенным третьим лицам (вроде управляющего банка или практикующего адвоката): они устанавливают Вашу личность заполняют форму и Вы отправляете её в Thawte вместе с чеком на $25. В этом случае вы сразу же получаете 100 баллов и становитесь "нотариусом".
— poptalk (19/12/2007 10:52)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
[оффтоп]Блин, эта схема поразительно смахивает на финансовую пирамиду. :-)[/оффтоп]
> Выдадут 50 баллов или меньше?
Каждый уполномоченный (в терминологии Thawte они называются "нотариусами", но не следует путать их с государственными нотариусами, предоставляющими нотариальные услуги) выдаёт некоторое количество баллов (конкретно от 10 до 35) в зависимости от количества уже выданных им подтверждений.
Обратиться к нескольким разным "нотариусам". Набрав 100 баллов, Вы сами станете нотариусом. Также есть альтернативный способ получения баллов путём обращения к двум доверенным третьим лицам (вроде управляющего банка или практикующего адвоката): они устанавливают Вашу личность заполняют форму и Вы отправляете её в Thawte вместе с чеком на $25. В этом случае вы сразу же получаете 100 баллов и становитесь "нотариусом".
— SATtva (19/12/2007 12:40)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Но в конечном-то счёте Вас платить никто не заставляет. Вообще схема с доверенными третьими лицами (TTP) предназначена в основном для людей, у который в окрУге нет "нотариусов" для бесплатного подтверждения (кстати, каждый "нотариус" может тоже брать некоторую плату за свои услуги, но обычно всё же действуют безвозмездно).
— poptalk (19/12/2007 14:24)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
Меня зацепил один момент: я могу выдавать сертификаты Thawte, только если я уплатил свой взнос, то есть "подключен к системе" (plugged in). Для сравнения: подписывать PGP-ключи я могу, даже не имея сам ни одной подписи, кроме собственной, правильно?

Ведь финансовые пирамиды запрещены законодательно, неужели никто не пытался подать в суд? :-)
— SATtva (19/12/2007 14:36)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Меня зацепил один момент: я могу выдавать сертификаты Thawte, только если я уплатил свой взнос

Вы неправильно поняли. Те же 100 баллов можно набрать и от обычных "нотариусов". Ещё раз подчёркиваю: схема TTP сугубо добровольна, она не даёт никаких особых преференций, кроме экономии времени и подключения к системе в местностях, где отсутствуют "нотариусы".

Ведь финансовые пирамиды запрещены законодательно, неужели никто не пытался подать в суд?

По Вашей логике, магазин бытовой техники — это тоже финансовая пирамида. Вы ведь должны принести им деньги, чтобы иметь возможность смотреть дома телевизор. :-)
— poptalk (19/12/2007 14:53)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
Не, моя логика соотвествует логике Википедии. Там написано, что такое ф.п.

Что вы подразумеваете под добровольностью?

Можно ли проследить путь от сертификата, полученного от самодеятельного нотариуса, до корневого сертификата Thawte?

Откуда берутся эти очки, по какому принципу они выдаются?
— SATtva (19/12/2007 15:16)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Не, моя логика соотвествует логике Википедии. Там написано, что такое ф.п.

"Финансовая пирамида — cитуация, возникающая в связи с привлечением денежных средств от инвесторов в некоторый инвестиционный проект, когда текущая доходность проекта оказывается ниже ставки привлечения инвестиций, и тогда часть выплат по вкладам инвесторов производится не из выручки (прибыли) проекта, а из средств новых инвесторов."

Что общего?

Что вы подразумеваете под добровольностью?

То, что Вы можете обратиться к доверенным третьим лицам (TTP), заплатить $25 и получить 100 баллов, а можете походить по "нотариусам", ничего не платить и тоже набрать в итоге 100 баллов.

Можно ли проследить путь от сертификата, полученного от самодеятельного нотариуса, до корневого сертификата Thawte? Откуда берутся эти очки, по какому принципу они выдаются?

"Нотариусы" не выдают сертификатов, соответственно, сеть доверия Thawte, в отличие от PGP, — не криптографическая сеть доверия, а организационная (очень похожа на схему аттестаторов WebMoney). Интересуетесь процедурой — читайте на официальном сайте.
— poptalk (19/12/2007 16:13)   профиль/связь   <#>
комментариев: 259   документов: 12   редакций: 3
Что общего?

Смотрите английскую статью.
A common example might be an offer that, for a fee, allows the victim to sell the same offer to other people, or receive bonuses through other people they refer. Each sale includes a fee to the original seller.

Соответствие модели Thawte следующее:
offer — получение 100 очков (статуса нотариуса),
fee — взнос 25USD,
victim — нотариус,
sell the same offer to other people — раздавать очки другим людям за деньги.
Впрочем, я неправ. Здесь продаётся реальная услуга, проверка документов, то есть это больше МЛМ.
— SATtva (19/12/2007 16:25)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Здесь продаётся реальная услуга, проверка документов

Вот именно, я и отметил это в примере с телевизором. "Нотариус" должен тратить личное время (правда, опять же, он может предоставлять такую услугу и даром). Для TTP деньги расходуются на международные звонки "доверенным третьим лицам" и, аналогично, на проверку документов и заполненных форм.
— vital (20/12/2007 21:21)   <#>
сегодня отнес копии документов одному из нотариусов, он совершенно безвозмездно дал 35 баллов, так что все по-человечески
в списке нотариусов по москве только один просит денег и то хз почему, если без проблем можно получить баллы у нормальных людей бесплатно
— unknown (20/12/2007 23:25)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По моему скромному мнению эти сертификаты нужны мелким сетевым предпринимателям, которые сами занимаются чем-то вроде MLM, интернет-аукционами и др.
Так что для них такая финансовая схема получения сертификата вполне органична.

Если отбросить в сторону большинство, которое вообще не думает о применении криптографии и использует Интернет в основном для развлечений (ну не наш это контингент, назовём его нулевым уровнем), то логичнее предположить примерно такую условную классификацию по уровням:

1). Пользователь-потребитель. Не производит контента, с которым требуется аутентификация, а например только ищет, анализирует, потребляет информацию, новости и т.д, редко общается с другими пользователями сети. Он не хочет, чтобы его "пассивная активность" профилировалась, сведения о нём собирались и т.д. Ему в первую очередь нужна анонимность. Следовательно ему достаточно анонимных сетей (tor и др.).

2) Пользователь-посредник, который имеет небольшой круг связей или может распространять или перераспространять какую-то информацию, не особо важную, но интересную другим пользователям.
Всех своих адресатов по контактам или знает лично, или может установить с ними доверие в пределах одного проекта. Ему нет смысла раскрывать своё реальное имя, реальную личность, входить в большую сеть доверия. Ему достаточно псевдонимности – его знают по нику, ключу не связанному с реальным именем, может использовать анонимные серверы для связи и т.д.

3) Человек-создатель важного для многих людей контента. Он готов тратить своё время и нести ответственность за своё дело, оно может быть даже коммерческим (но бизнес, связанный с Интернетом – это отдельный вопрос и все его аспекты не совсем по нашей части), так и скорее некоммерческим (разработка свободного ПО, научная деятельность, общественный активизм).

Он готов отвечать за то что делает своей репутацией. Если дело действительно важное, для такого человека (кроме экстремальных и малореальных случаев) необходимо раскрыть свою личность и действовать от своего имени. Ему есть смысл отказаться от большей части своей анонимности ради широкой общественной пользы.

Ему естественно придётся связать свой ключ со своим реальным именем. Ему нужна аутентификация для широкого круга людей, а уже им понадобиться в некоторых случаях анонимность или приватность при передаче ему информации. Здесь проблема тоже решается просто. Если человек создаёт свой проект, то его ключ будет связан с широко известным проектом (www.torproject.org, www.cryptome.org, www.pgpru.com и т.д.).

Если человек вступает в организацию, то организация должна побескоиться о выдаче аутентифицирующих сведений. Например разработчики свободного ПО для Debian GNU/Linux имеют связку ключей, а у пользователей есть способы проверить ключ каждого разработчика. Аналогично решается в других дистрибутивах или крупных open source проектах.

Научные или общественные организации (даже криптологические) обычно не используют openPGP, но могут иметь https:// сайт, а также образуют свою "социальную сеть" через которую можно связаться с автором (через журналы, конференции и т.д.).

Коммерческий проект может просто купить сертификат у крупного поставщика, и, в случае убытков по вине недобросовестного поставщика судиться с ним.

Так что если подумать ещё раз, на кого это рассчитано – наверное на мелкий бизнес или средний бизнес, тесно связанный с Интернетом.

Обычным пользователям стоит подумать, будет ли для них такая модель оправдана или необходима. Стоит ли им оставлять паспортные данные в негосударственной коммерческой базе данных или платить деньги ради получения аутентификации на своё имя? Или лучше воспользоваться сетевой моделью OpenPGP? Или получить заверение своего ключа в связи с участием в какой-либо организации? Или остаться анонимным или псевдонимным?

P. S. Кстати деление на "три уровня" условно. По разным делам пользователь может находиться одновременно на трёх разных уровнях, включая даже нулевой, но чаще застревает на каком-то одном.

Только вопрос как это всё разумно сочетать, где важнее анонимность, где приватность, где аутентификация?
— Гость (07/02/2010 04:31)   <#>
Уже не работает :(
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3