2015-04-01
560
Структура электронного сертификата закреплена Международным союзом связи в стандарте ITU-T X.509. С этой структурой можно наглядно познакомиться с помощью броузера Internet Explorer, рассмотренного нами выше при изучении службы World Wide Web. Поскольку при занятии электронной коммерцией в Web достаточно часто приходится работать с сертификатами, в эту программу уже встроены некоторые сертификаты, которые могут потребоваться наиболее часто при работе со службами WWW, поставляющими программное обеспечение. Пример сертификата, удостоверяющего центр сертификации компании Microsoft, приведен на рис. 9.4.
Чтобы открыть сертификат, запустите программу Microsoft Internet Explorer 5.0 и дайте команду Сервис > Свойства обозревателя. В открывшемся диалоговом окне Свойства обозревателя выберите вкладку Содержание и на панели Сертификаты щелкните на кнопке Сертификатов — откроется диалоговое окно Диспетчер сертификатов. Далее выберите вкладку Доверенные корневые центры сертификации, в поле Кому выдан разыщите запись Microsoft Root Authority, а в поле Кем выдан убедитесь, что этот самодеятельный центр сертификации выдал сертификат сам себе.
В этом нет ничего удивительного. В частности, пока в России не принят закон об ЭЦП, у нас тоже можно встретиться с центрами сертификации, сертифицировавшими себя самолично.
Выделив сертификат Microsoft Root Authority, щелкните на кнопке Просмотр и изучите свойства данного сертификата. На вкладке Общие приведены основные сведения о сертификате (для чего он предназначен), а на вкладке Состав приведена структура полей сертификата (рис. 9.5).
Версия (V3). Стандарт ITU-T X.509 постепенно меняется. В этом поле указано, с какой версией стандарта совместим данный сертификат. Это важно для правильного подбора программ, способных с ним работать. В данном случае речь идет о третьей версии (Version 3).
Серийный номер. Это уникальный номер, присвоенный сертификату организацией, которая его выписывала. Во-первых, он используется для учета выданных сертификатов внутри центра сертификации, а во-вторых, он важен в случае, если сертификат будет отозван при компрометации закрытого ключа владельца. Именно по этому номеру просматривается список аннулированных сертификатов.
Алгоритм подписи (md5RSA). Указывает на то, какой метод несимметричного шифрования был использован при подписании данного сертификата, а также на метод генерации дайджеста (электронной печати).
Метод RSA относится к широко распространенным. Он был разработан в 1976 г. на базе новой математической дисциплины — дискретного логарифмирования и назван по именам своих создателей (Ron Rivest, Adi Shamir, Leonard Adleman).
MD5 (Message Digest Algorythm 5) — это метод получения дайджеста сообщения. Он генерирует дайджест длиной 128 бит с помощью хэш-функции. Метод был введен разработчиками алгоритма RSA и, несмотря на то что в последние годы стало известно о некоторых его слабостях, продолжает использоваться преимущественно с сообщениями, зашифрованными алгоритмом RSA.
Поставщик. Сведения, идентифицирующие издателя сертификата (кто выдал сертификат).
Действителен с... Дата начала действия сертификата. Действителен по... Дата окончания действия сертификата.
Субъект. Сведения, идентифицирующие держателя сертификата (кому сертификат выдан).
Открытый ключ (RSA 2048 bits). Сам сертифицируемый открытый ключ с указанием метода его получения. В данном случае приводится ключ, полученный методом RSA, имеющий длину 2048 бит.
Идентификатор ключа. Это поле является дополнительным. Такие поля принято называть расширениями стандарта. Некоторые производители программного обеспечения вводят подобные расширения для удобств центров сертификации. В данном случае здесь приводится внутренний идентификатор ключа, позволяющий центру сертификации ускорить свои процедуры. Нет гарантий, что расширения стандарта могут быть понятны произвольным средствам ЭЦП.
Алгоритм печати (SHA1). Имеется в виду алгоритм хэш-функции, с помощью которой получен дайджест ключа (электронная печать). В данном случае использован стандартный алгоритм SHA (Secure Hashing Algorithm), разработанный Агентством национальной безопасности США (National Security Agency, NSA) для Национального института стандартов и технологии (National Institute of Standards and Technology, NIST). С помощью этого алгоритма создается “отпечаток” сертификата, имеющий стандартный размер 160 бит.
Печать. Здесь приводится сам дайджест (электронная печать), имеющий для принятого алгоритма размер 20 байтов (160 бит). Необходимость в наличии дайджеста связана с особенностями распространения сертификата в составе программы Microsoft Internet Explorer 5.0. Поскольку никто заранее не может предсказать, каким образом (откуда, из чьих рук) конкретный пользователь получит эту программу вместе с сертификатом, электронная печать гарантирует целостность и неизменность сертификата на всех этапах хранения, распространения и эксплуатации программы.
В качестве примера мы рассмотрели международный стандарт на формат электронного сертификата, введенный Международным союзом связи. Однако не следует забывать, что наряду с ним могут существовать национальные стандарты, стандарты отраслей и ведомств, а также квазистандарты, связанные с отдельными средствами ЭЦП и действующие в ограниченных кругах пользователей данных средств. Обычно структура сертификата специально оговаривается в национальном законодательстве, посвященном электронной коммерции и электронной цифровой подписи, или в постановлениях органов, уполномоченных государством на ведение деятельности, связанной с регулированием отношений, возникающих в сфере электронной коммерции.
