і. Тим не менш, в захищених мережах великі прогалини в системі безпеки виникають вкрай рідко. Тому, оскільки користувачі довіряють один одному, в таких мережах можна обмінюватися даними, не застосовуючи засобів безпеки.
У відкритих мережах, таких як Інтернет, інформація може потрапити до рук користувачів, наміри яких нікому не відомі. Інформація, що не представляє особливої вЂ‹вЂ‹цінності, не потребує і в безпеці. Однак, якщо інформація є цінним чи конфіденційної, необхідно вжити відповідних заходів безпеки для її захисту. <В
Використання сертифікатів для забезпечення безпеки
Сертифікати можна використовувати для вирішення різноманітних завдань безпеки.
В· Аутентифікація (Authentication) або перевірка справжності. Перевірка того, що об'єкт, з яким ви взаємодієте, є насправді вповноваженим об'єктом. p> В· Забезпечення конфіденційності (privacy) або таємності. Забезпечення доступу до інформації тільки авторизованим користувачам, навіть якщо будь-який користувач мережі може перехопити повідомлення. p> В· Шифрування (Encryption). Забезпечує доступ до інформації тільки для того користувача, якій вона призначена. p> В· Цифрові підписи (Digital signatures). Забезпечення цілісності та автентичності даних. <В
Аутентифікація
Аутентифікація є необхідною умовою забезпечення секретності обміну даними. Користувачі повинні мати можливість підтвердити свою автентичність і перевірити ідентифікацію інших користувачів, з яким вони спілкуються. Цифровий сертифікат є поширеним засобом ідентифікації.
Сертифікати служать для забезпечення аутентифікації в наступних випадках:
В· аутентифікація користувача для захищеного веб-вузла за допомогою протоколів Transport Layer Security (TLS) або Secure Sockets Layer (SSL);
В· аутентифікація сервера для користувача за допомогою TLS. <В
Конфіденційність
Для забезпечення конфіденційності при передачі даних в незахищених мережах або по приватним локальним мережам застосовується шифрування з секретним, або закритим, ключем (secret key encryption). Сертифікати забезпечують конфіденційність переданих даних за допомогою ряду методів. Протоколи, найбільш широко використовуються для забезпечення секретності:
В· Secure Multipurpose Internet Mail Extensions (S/MIME);
В· Transport Layer Security (TLS);
В· IP Security (IPSec). <В
Центри сертифікації
Центр сертифікації (також зустрічається термін постачальник сертифікатів) (Certification Authority, CA) являє собою службу, якій довірено випуск сертифікатів, якщо індивідуальний користувач або організація, які запитують сертифікат, задовольняють умовам встановленої політики. Це здійснюється шляхом прийняття запиту на отримання сертифіката, перевірки та реєстрації імені запитувача сертифікат користувача і відкритого ключа відповідно до політикою. Кожен ЦС має отримати від запитуючої сертифікат боку підтвердження її ідентичності, таке як посвідчення особи або фізичний адресу. Потім проводиться підписання та призначення сертифіката, що підтверджує виконання користувачем критеріїв політики, які були встановлені для авторизації. Більшість використовуваних на сьогодні сертифікатів засновані на стандарті Х.509, ця фундаментальна технологія застосовується в інфраструктурі відкритих ключів Windows 2000 і Windows Server 2003.
Центром сертифікації може бути віддалена організація, така як VeriSign, або локальна служба, створена у вашій організації шляхом інсталяції служб Certificate Services (Служб сертифікації). Вибір ЦС грунтується на довірчому відношенні (trust). Ви довіряєте, що ЦС використовує правильну політику при розгляді запитів на підписання сертифікатів. Крім того, ви довіряєте, що ЦС відкликає сертифікати з вичерпаним терміном дії шляхом публікації списку відкликаних чинності сертифікатів (certificate revocation list). Центри сертифікації також мають власні сертифікати. Причому вищестоящий центр підписує сертифікати для нижчестоящих центрів. Таким чином, формується ієрархія сертифікатів (Certificate hierarchy). p> Довіра центру сертифікації встановлюється за наявності копії кореневого сертифіката в сховище довіряють кореневих центрів сертифікації, а також дійсного шляху до сертифіката. Це означає, що жоден з сертифікатів ієрархії (шляху сертифікатів) не відкликали і не має минув терміну дії.
Якщо в організації використовується Active Directory, то довіра до центрів сертифікації вашої організації встановлюється автоматично на основі рішень і установок, виконаних системним адміністратором.
Сертифікат засвідчує, що індивідуальний користувач або ЦС, що представляє сертифікат, був авторизований в відповідності з політикою, яка була встановлена ​​для ЦС, випустив сертифікат. Зазвичай сертифікати містять наступну інформацію:
В· відкритий ключ (Public key) власника сертифіката;
В· ідентифікаційну інформацію власника сертифіката;...
