Сертификат открытого ключа
Цифровой сертификат используется для подтверждения принадлежности открытого ключа его владельцу (пользователю или приложению) и представляет собой электронный документ, выдачу и заверение которого выполняет удостоверяющий центр (УЦ). УЦ является основным компонентом всей инфраструктуры открытых ключей (или PKI). Цифровые сертификаты нужны для того, чтобы сделать невозможной попытку выдать ключ одного человека за ключ другого. Каждый цифровой сертификат содержит открытый ключ владельца сертификата, имя владельца ключа, название выпустившего его УЦ, время, в течение которого сертификат действителен, а также может содержать дополнительную информацию: о владельце (например, e-mail или место работы) или об УЦ (например, какой алгоритм использован для подписания сертификата).
Являясь результатом криптографической хэш-функции от данных сертификата, зашифрованным закрытым ключом УЦ, цифровая подпись защищает сертификат от подделки.
Поскольку открытый ключ УЦ общеизвестен, любой может расшифровать им цифровую подпись сертификата и вычислить хэш, сравнение которого с цифровой подписью сертификата позволяет убедиться в действительности сертификата.
Устанавливая соответствие между открытым ключом и информацией, идентифицирующей владельца ключа, цифровой сертификат исключает возможность подмены открытого ключа или нарушения его идентификации для отправки подписанных данных и получения зашифрованных данных злоумышленником.
Проверка цифровых сертификатов выполняется с помощью так называемой цепочки доверия, где подпись сертификатов выполняется закрытыми ключами сертификатов, находящихся выше в цепи. Таким образом, цифровая подпись сертификата считается верной лишь тогда, когда верна не только она, но и цифровые подписи всех проверяемых в данном процессе сертификатов. Сертификат, находящийся в иерархии сертификатов выше всех, называется корневым.
Для повышения эффективности и снижения издержек при администрировании PKI предлагается использовать комплексное решение Indeed Certificate Manager (Indeed CM).
