Лекции по криптографии. М.: Мцнмо, . -е изд., стереотип. с. Брошюра издана по материалам лекций по криптографии, прочи
.... Если клиенты зарегистрированы в разных УЦ
жүктеу/скачать 460.25 Kb. Pdf көрінісі
|
| .... Если клиенты зарегистрированы в разных УЦ. Рас-
смотрим в качестве полезного упражнения, что происходит, если приведенную выше схему обмена пробуют использовать клиенты, зарегистрированные в разных УЦ. Предположим, что клиент A зарегистрирован в удостоверяющем центре Y , а клиент B — в другом удостоверяющем центре Y ′ . При регистрации они получают сертификаты, содержащие открытые клю- чи самого клиента и регистрирующего удостоверяющего центра и подписанные закрытыми ключами соответствующих удостоверяю- щих центров. Во время обмена сообщениями клиент A направляет клиенту B свой сертификат, подписанный закрытым ключом удосто- веряющего центра Y , и сообщение m, подписанное с помощью своего закрытого ключа. 54 3. Криптография и массовые информационные коммуникации Получив сертификат клиента-отправителя, клиент B, как уже от- мечалось, первым делом из собственного сертификата извлекает от- крытый ключ удостоверяющего центра, в котором он сам зарегистри- рован. В данном случае это будет открытый ключ удостоверяющего центра Y ′ (обозначим его ¯¯ K 1 Y ). Поскольку Y и Y ′ — два разных удостоверяющих центра, которые имеют две разные пары ключей, открытый ключ ¯¯ K Y удостоверяюще- го центра Y не будет соответствовать закрытому ключу ¯¯ ¯¯ K 1 Y другого удостоверяющего центра Y ′ , и проверка, которую проводит клиент- получатель в соответствии с п. ... (ii), не будет выполнена. Вообще говоря, клиент B может проигнорировать это досадное об- стоятельство и выполнить следующую операцию, извлекая из полу- ченного сертификата C A открытый ключ отправителя ¯¯ K A (а он, соб- ственно, только и нужен для проверки правильности подписи под по- лученным сообщением). Однако подобные действия являются недо- пустимыми, поскольку нарушают всю концепцию информационной безопасности, основанную на функциях удостоверяющих центров по подтверждению полномочий участников информационной системы. 3.2.4. Система взаимодействующих удостоверяющих центров Таким образом, приведенная система успешно работает только для клиентов, зарегистрированных в одном удостоверяющем центре. Другими словами, она предполагает регистрацию всех клиентов (а в глобальной информационной системе таковых будут уже мно- гие миллионы) в одном-единственном удостоверяющем центре. При этом, учитывая, что информационные обмены, вообще говоря, носят межгосударственный характер, рассматриваемый гипотетический удо- стоверяющий центр также должен носить транснациональный ха- рактер. Разумеется, создание такого единого «всемирного удостоверяю- щего центра» невозможно по многим соображениям, в том числе технологического и организационного характера. Кроме того, прави- тельства многих стран рассматривают создание и функционирование системы удостоверяющих центров в качестве важной компоненты национальной безопасности и предпочитают сохранять жесткий го- сударственный контроль над ее деятельностью. Напротив, в других странах деятельность удостоверяющих центров рассматривается как чисто коммерческая, и удостоверяющие центры представляют собой достаточно прибыльные коммерческие предприятия, деятельность которых регулируется достаточно либеральным национальным за- 3.2. Инфраструктура открытых ключей и удостоверяющие центры 55 конодательством. И наконец, третья группа стран до сих пор не определилась в этом вопросе. К сожалению, к ним относится (по состоянию на конец года) и Россия. Между тем создание единой информационной системы требует обеспечения режима взаимного признания сертификатов ключей ЭЦП всех участников системы, независимо от того, в каком удостове- ряющем центре зарегистрированы конкретные ее участники. Отказ от этого требования делает невозможным создание единой среды информационного обмена, разрывая ее на большое число несвя- занных между собою региональных и/или отраслевых сегментов. Такая ситуация создает массу неудобств для пользователей. В каком- то смысле она похожа на ситуацию, которая сложилась бы, если бы паспорта, удостоверяющие личность, действовали бы только на территории какого-то данного региона или признавались бы только данным ведомством. Можно представить себе проблемы, с которыми столкнулась бы в подобной ситуации личность, которая переезжает из одного региона в другой, да при этом еще и взаимодействует с различными ведомствами. Конечно же, подобная ситуация крайне нежелательна, и для ее разрешения предложено несколько способов решения. Ниже приво- дится одна из возможных схем решения задачи взаимного признания сертификатов ключей ЭЦП, основанная на построении единой иерар- хической системы удостоверяющих центров. 3.2.5. Иерархическая система удостоверяющих центров Рассмотрим снова ситуацию двух клиентов, зарегистрированных в разных удостоверяющих центрах, и введем следующие обозначения: жүктеу/скачать 460.25 Kb. Достарыңызбен бөлісу:
|