Certifieringsmyndighet

Inom kryptografi är en certifieringsmyndighet eller certifieringsmyndighet ( eng.  Certification Authority, CA ) en part (avdelning, organisation) vars ärlighet är obestridlig, och den publika nyckeln är allmänt känd. Certifieringsmyndighetens uppgift är att autentisera krypteringsnycklar med hjälp av elektroniska signaturcertifikat .

Tekniskt sett implementeras CA som en komponent i den globala katalogtjänsten och ansvarar för att hantera användarnas kryptografiska nycklar. Offentliga nycklar och annan information om användare lagras av certifieringsmyndigheter i form av digitala certifikat .

Behovet av en certifikatutfärdare

Ett asymmetriskt chiffer låter dig kryptera med en nyckel och dekryptera med en annan. Således hålls en nyckel (dekrypteringsnyckeln, "hemlig") av den mottagande parten, och den andra (krypteringsnyckeln, "öppen") kan erhållas under en direktkommunikationssession, via post, som finns på "elektroniska anslagstavla", etc. Men ett sådant kommunikationssystem förblir sårbart för en angripare som utger sig för att vara Alice , men ger sin offentliga nyckel, inte hennes.

För att lösa detta problem signeras Alices publika nyckel, tillsammans med den medföljande informationen (namn, utgångsdatum, etc.) , av en certifikatutfärdare. Naturligtvis antas det att certifikatutfärdaren är ärlig och inte kommer att signera angriparens nyckel. Och det andra kravet: certifieringsmyndighetens publika nyckel distribueras så brett att även innan anslutningen upprättats kommer Alice och Bob att ha denna nyckel, och angriparen kommer inte att kunna göra något åt ​​det.

När nätverket är mycket stort är belastningen på certifikatutfärdaren stor. Därför kan certifikat bilda kedjor: rotcertifieringsmyndigheten signerar nyckeln till företagets säkerhetstjänst och företaget signerar nycklar till anställda. Alla medlemmar i kedjan måste vara ärliga, och det räcker med att rotcentret har en allmänt känd nyckel.

Slutligen exponeras abonnenternas privata nycklar då och då. Därför, om det är möjligt att kommunicera direkt med certifikatutfärdaren, bör den senare kunna återkalla certifikaten från sina "underordnade".

Om det finns en billig öppen kommunikationskanal (Internet) och en dyr hemlig (personligt möte), finns det självsignerade certifikat . De, till skillnad från konventionella, kan inte återkallas på distans. Rotcertifikat är också tekniskt självsignerade.

Grundläggande information

En certifieringsmyndighet är en komponent som ansvarar för att hantera användarnas kryptografiska nycklar.

Offentliga nycklar och annan information om användare lagras av certifikatutfärdare i form av digitala certifikat med följande struktur:

• certifikatets serienummer;
• objektidentifierare för den elektroniska signaturalgoritmen ;
• namnet på certifieringsmyndigheten;
• certifikatets giltighetstid;
• namn på ägaren av certifikatet (namnet på användaren som äger certifikatet );
• certifikatägarens offentliga nycklar (det kan finnas flera nycklar);
• objektidentifierare för algoritmerna associerade med certifikatinnehavarens publika nycklar;
• en elektronisk signatur genererad med hjälp av certifieringsmyndighetens hemliga nyckel (hashresultatet av all information som lagras i certifikatet signeras).

Skillnaden mellan ett ackrediterat centrum är att det står i ett avtalsförhållande med en högre certifieringsmyndighet och inte är den första ägaren till ett självsignerat certifikat i listan över certifierade rotcertifikat. Rotcertifikatet för en ackrediterad myndighet är certifierat av en högre certifikatutfärdare i hierarkin av identitetssystemet. Det ackrediterade centret får alltså den "tekniska rätten" till arbetet och ärver "förtroendet" från den organisation som utfört ackrediteringen.

Ett ackrediterat nyckelcertifieringscenter är skyldigt att uppfylla alla skyldigheter och krav som fastställs av lagstiftningen i lokaliseringslandet eller av en organisation som genomför ackreditering i sitt eget intresse och i enlighet med dess regler.

Förfarandet för ackreditering och de krav som ett ackrediterat nyckelcertifieringscenter måste uppfylla fastställs av det relevanta auktoriserade organet i den stat eller organisation som utför ackrediteringen.

Nyckelcertifieringsmyndigheten har rätt att:

• tillhandahålla tjänster för certifiering av certifikat för elektronisk digital signatur
• underhålla certifikat för offentliga nyckel
• ta emot och verifiera den information som behövs för att skapa en överensstämmelse mellan de uppgifter som anges i nyckelcertifikatet och de inlämnade handlingarna.

Certifieringscenter i Ryssland

För att utföra arbete måste certifieringscentra, enligt lag N 63-FZ av den 6 april 2011, [1] vara ackrediterade. [2] Denna lag reglerar förbindelserna inom området för användning av elektroniska signaturer i civilrättsliga transaktioner, tillhandahållande av statliga och kommunala tjänster, utförande av statliga och kommunala funktioner och utförande av andra juridiskt betydelsefulla handlingar. I samband med den intensiva utvecklingen av digitaliseringen av offentliga tjänster 2021 har regelverket för certifieringscentralernas arbete ändrats väsentligt.

Manipulationer med elektroniska signaturer i certifieringscentra i Ryska federationen

• I Ryska federationen används ibland certifieringscenter för elektroniska signaturer för att förfalska elektroniska signaturer [3] . Enligt revisorerna från Ryska federationens räkenskapskammare , efter massiva olagliga överföringar av pensionssparande från PFR till NPF , behöver åtgärderna från ackrediterade certifieringscenter för överföring av ansökningar om att byta försäkringsgivare särskild verifiering av kommunikationsministeriet [4] , faktum är att kollegiet för redovisningskammaren som leds av Tatyana Golikova dömde några CA för olagligt användande av den försäkrade personens elektroniska signatur , samt för att upprätta dokument utan medverkan av en medborgare [5] . "En granskning av kontokammaren avslöjade återigen massiva överträdelser även i närvaro av förbättrade åtgärder för att skydda den elektroniska signaturen," kommenterade presidenten för APPF Sergey Belyakov [6] , dessutom var bevisen för CA-manipulation med signaturer så övertygande att PFR slutade ta emot ansökningar om överföring av pensionssparande genom certifieringscentraler [7] . Pensionsfonden i Ryssland kallade händelsen en konsekvens av pilotprojektet, men förnekade inte att överföringar blev möjliga, inklusive genom agenter som samarbetar med certifieringscenter [8] , "inte hållbara" motiveringar som kallas en sådan ståndpunkt av PFR, ordföranden av räkenskapskammaren Tatyana Golikova [9] . Vissa experter hävdade att massförfalskning av elektroniska signaturer utfördes genom att den attesterande myndigheten återanvände kundens elektroniska signatur [10] . Som ett resultat, efter att ha misstänkt en maskopi mellan CA och NPF , utvecklade arbetsministeriet ett förslag om att utesluta certifieringscentra från systemet för att lämna in elektroniska ansökningar om att ändra NPF från medborgare, till vilket finansministeriet och ministeriet för ekonomisk utveckling skickade negativ feedback och blockerade arbetsministeriets initiativ som olagligt [11] , men förtroendet för ryska CA förlorades oåterkalleligt [12] .
• Ett annat sätt att manipulera elektroniska signaturer genom en certifieringsmyndighet är att kunden erbjuds en distansutfärdande av ett kvalificerat certifikat utan personlig kontakt mellan den sökande och den anställde på registreringsavdelningen på certifieringscentret , i detta fall utfärdas den elektroniska signaturen på distans, baserat på sökandens dokument som lämnats in via Internet till certifieringsmyndigheten [13] . Som ett resultat av sådana handlingar, orsakade, enligt experter från Garants rättssystem , av det faktum att " IT-funktioner i CA :s verksamhet har företräde över dess juridiska väsen ", kan den elektroniska signaturen användas av skrupelfria tredje parter [14 ] . Det är oacceptabelt att utfärda ett elektroniskt signaturcertifikat med en handskriven fullmakt [15] .

Se även

• Rutoken
• VeriSign
• Låt oss kryptera
• GlobalSign
• Lista över återkallelse av certifikat

Anteckningar

1. ↑ FEDERAL LAG om elektronisk signatur (som ändrad den 24 februari 2021) . https://docs.cntd.ru/ . docs.cntd.ru (24 februari 2021). Tillträdesdatum: 22 maj 2021. (ryska)
2. ↑ Ackreditering av certifieringscentra . digital.gov.ru _ digital.gov.ru (22 maj 2021). Tillträdesdatum: 22 maj 2021. (ryska)
3. ↑ "PFR har avbrutit accepterandet av ansökningar om överföring av sparande till Storbritannien och NPF" 2008-2018 " Ryska federationens pensionsfond " daterad 29 juni 2017
4. ↑ "Förfarandet för att överföra pensionssparande från pensionsfonden medför risker, enligt joint venture" MIA Rossiya Segodnya daterad 2017-06-27.
5. ↑ "Medborgare har inte möjlighet att få uppdaterad information när de ingår ett avtal med NPFs" " Accounts Chamber of the Russian Federation ", 27 juni 2017
6. ↑ "En enkel elektronisk signatur skyddar inte besparingar" gazeta.ru daterad 2017/07/31,
7. ↑ "PFR kommer att arbeta på ett nytt sätt efter kritik mot redovisningskammaren" " Vedomosti " daterad 28 juni 2017
8. ↑ "Räkenskapskammaren pekade på manipulationer med medborgarnas pensionssparande" " RBC " daterad 27 juni 2017
9. ↑ "Massiva förfalskningar avslöjades vid överföringen av pensionssparande" " Vedomosti " daterad 27 juni 2017
10. ↑ "Elektronisk signatur ur förtroende " RBC nr. 108 (2604) (2306) 23 juni 2017: "Enligt NAPF-rådgivare Valery Vinogradov bör en elektronisk signatur som genereras i ett certifieringscenter användas en gång. När den väl har använts ska centret ta bort det, säger han. "Men i slutet av december användes dessa elektroniska signaturer från kunder en andra gång", säger experten .
11. ↑ "Arbetsministeriet beslutade att komplicera överföringen av pensionssparande" " Vedomosti " daterad 16 januari 2017
12. ↑ ”NPF löste övergångsproblemet” Tidningen ”Kommersant” nr 239 daterad 2017-12-22, s. 10.
13. ↑ "Att utfärda en elektronisk signatur utan den sökandes personliga närvaro bryter mot lagen" " Garant " av 7 december 2017
14. ↑ "Att utfärda en elektronisk signatur utan personlig närvaro bryter mot lagen" " Electronic Express ", 2018.
15. ↑ "Risker med att utfärda ett elektroniskt signaturcertifikat genom handskriven fullmakt " Garant Company daterat 19 januari 2018.

Länkar

• Lista över certifikatmyndigheter per land  (otillgänglig länk)
• CAs i Curlie Link Directory (dmoz)
• Lista över rotcertifikat som ingår i Firefox
• Översikt över CA
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520