Autoritate certificată

Diagrama unei infrastructuri a Autorității de certificare

În criptografie , o autoritate de certificare, sau a autorității de certificare (CA, în limba italiană: „autoritate de certificare“ ^[1] ), este o încredere treia parte, public sau privat, a permis să emită un certificat digital printr - o certificare de procedură care urmează internaționale standarde și în conformitate cu europene relevante la nivel național și legislație .

Sistemul în cauză folosește criptografie cu cheie dublă sau asimetrică, în care una dintre cele două chei este făcută publică în cadrul certificatului ( cheie publică ), în timp ce a doua, corelată în mod unic cu prima, rămâne secretă și asociată cu proprietarul ( cheie privată ). O pereche de chei poate fi alocată unui singur proprietar.

Autoritatea are un certificat cu care sunt semnate toate certificatele emise utilizatorilor și, desigur, trebuie instalat pe o mașină sigură.

Introducere

Autoritățile de Certificare sunt caracteristici ale unei infrastructuri de chei publice (PKI), organizată după cum urmează:

o politică de securitate care stabilește principiile generale;
o declarație practică certificat (CPS), care este documentul care ilustrează procedura de emitere, înregistrarea, suspendarea și revocarea certificatului;
un sistem de autoritate de certificare (CA);
o autoritate de înregistrare sistem (RA), care este sistemul de înregistrare și autentificare a utilizatorilor care solicită certificatul;
un server de certificate sau Autoritatea de validare funcția (VA) , care certifică certificatul de utilizator / entitate corespondenta , în numele (în numele) CA.

Persoanele fizice, organizații, servere , aplicatii, site - uri web, rețele de interconectare pot fi certificate, Fiecare dintre ele indică CA în CPS sale , care sunt entitățile finale pe care este dispus să certifice și în ce scopuri de utilizare (certificate pentru semnarea și criptarea mesajelor de e-mail , rețea server de certificate de autentificare, etc.).

Rădăcină CA.

O infrastructură PKI este structurată ierarhic de mai multe CA-uri, în partea de sus a cărora se află o CA rădăcină care certifică sub-CA-urile. Primul pas în construirea unei PKI este de a crea CA rădăcină de copac, care este CA. rădăcină Dacă rădăcina CA este rădăcina arborelui care semnează certificatul? Răspunsul este foarte simplu: CA își semnează propriul certificat. În practică, publice și private , sunt create cheile, cererea de eliberare a unui certificat este creat și semnarea cu cheia sa privată. De aici nevoia de o bună reputație a unui CA: în practică , nu există nici o autoritate garant din punct de vedere arhitectural deasupra CA rădăcină; prin urmare, este necesar să se treacă la forme juridice de garanție.

Un exemplu practic

Spre deosebire de criptare simetrică , care utilizează o singură cheie pentru a cripta și decripta, asimetrice sau chei publice de criptare utilizează două chei, o cheie publică și o cheie privată, unul pentru a cripta și cealaltă pentru a decripta, ambele legate printr - o funcție matematică. CA-urile reprezintă soluția la problema asocierii dintre o cheie publică și persoana care deține cheia sa privată. Să clarifice conceptul cu un exemplu: Alice și Bob doresc să facă schimb semnate și criptate mesaje; pentru a face acest lucru ambele crea propria pereche de chei publice și cele publice pe un server de chei . Apoi Alice scrie un mesaj pentru Bob, îl semnează cu cheia privată și îl criptează cu cheia publică a lui Bob, apoi mesajul este trimis. La primirea Bob decriptează mesajul cu cheia sa privată și verifică semnătura cu cheia publică a condus la Alice. Bob știe două lucruri în acest moment:

mesajul i-a fost adresat pentru că a putut să-l descifreze cu cheia sa privată
mesajul a fost semnat cu cheia privată în raport cu cheia publică pe care a folosit-o pentru a verifica semnătura.

În același timp, Bob nu are nicio garanție că cheia este cu adevărat deținută de Alice. Continuând exemplul, să presupunem că o a treia persoană, Mallory, reușește să intercepteze comunicarea în care Bob obține cheia lui Alice și reușește să o înlocuiască cu cheia sa publică în care se preface că este Alice. Bob nu are cum să descopere înșelăciunea. Pentru a rezolva situații de acest tip, se creează CA care se ocupă de verificarea și garantarea corespondenței dintre cheie și proprietar. Atunci când un utilizator solicită un certificat, CA verifică identitatea lor, apoi creează un document digital semnat cu cheia privată a AC și publicate. În exemplul de mai sus, să presupunem că Alice și Bob au cheile semnate de un CA în care amândoi au încredere. În acest caz, atacul lui Mallory nu mai este posibil, deoarece nu poate reproduce semnătura CA.

Procedura de certificare

Alice își generează perechea de chei. Contactează autoritatea de înregistrare a teritoriului său, se identifică și furnizează cheia sa publică pentru a fi certificată. RA aprobă cererea de certificare după verificările corespunzătoare, după care solicită CA, aleasă de Alice sau predefinită pentru teritoriu, să genereze un certificat pentru Alice. CA semnează certificatul generat pentru Alice cu propria sa cheie privată. Alice primește prin e-mail certificatul semnat de CA și certificatul rădăcină al CA De fiecare dată când semnează un document, Alice își va atașa certificatul digital sau numărul de serie al acestuia. Certificatul Alice este publicat de CA pe propriul server de certificate sau pe un site conectat de autoritatea de validare VA.

CAs sunt organizații foarte importante în zilele noastre web peisaj; în general, toate site - urile care se ocupă cu comerțul electronic sau tranzacții on - line, cel puțin atunci când utilizatorul autentificării, prin transfer comunicarea HTTP protocolul la HTTPS protocolul; în timpul negocierii, clientul solicită certificatul de server și apoi se stabilește conexiunea securizată. Atunci când un browser - ul (dar , de asemenea , un client de e - mail, etc.) primește un certificat, acesta îl validează. În procesul de validare, se verifică dacă tot arborele CA conectat la certificatul este de încredere. Dacă toate CA-urile implicate în emiterea certificatului în cauză sunt de încredere, certificatul este considerat valid, altfel utilizatorul este întrebat ce să facă, adică dacă îl acceptă sau nu. Problema încrederii în certificat sau nu și, prin urmare, entitatea care l-a prezentat este transmisă utilizatorului. Deci, problema încrederii rămâne în totalitate în sarcina utilizatorului. Prin urmare , este automat că site - urile sau infrastructuri folosesc certificate emise Cas cunoscute pentru fiabilitatea lor. Unele site-uri pot opta pentru o auto-certificare numai pentru a împiedica terții, prin analiza protocolului IP, să citească datele schimbate între site și utilizator.

Atribuțiile unei autorități de certificare

Acum prezentăm sarcinile unei CA standard. Procedura ilustrată este un ghid care poate varia de la caz la caz:

identificarea sigură a cine solicită certificarea cheii publice;
eliberarea și publicarea certificatului (semnat cu propria cheie privată);
menținerea registrului de chei publice;
revocarea sau suspendarea certificatelor în cazul unei cereri de către partea interesată sau în caz de abuz, falsificare etc. și, în același timp, actualizarea listei publice a certificatelor suspendate sau revocate (lista revocării certificatelor);
răspunde (electronic) la cererile de transmitere a certificatelor.
se ocupă periodic de publicarea a două liste pe serverul de certificate sau pe site-ul VA (autoritatea de validare):

Lista de revocare certificate (CRL)
Certificat de suspensie Lista (CSL)

Supraveghere

Italia

Autoritățile de certificare sunt supuse reglementărilor și supravegherii stricte de către stat. Guvernul italian a fost primul la nivel european și printre primii la nivel mondial care și-a dat o reglementare de reglementare în acest sens, definind regulile tehnice și logistice pentru a crea o infrastructură care ar putea emite certificate digitale care aveau, în conformitate cu legea , aceeași valabilitate ca o semnătură scrisă de mână. Certificatele trebuie să fie emise Cas înregistrate în lista publică a Certificatorii , difuzate de către Centrul Național pentru Tehnologia Informației în Administrația Publică (CNIPA) . Acest organism funcționează la Președinția Consiliului pentru punerea în aplicare a politicilor ministrului reforme și inovații în PA, în sine , două unifică organisme pre-existente, inclusiv Autoritatea pentru Tehnologia Informației în Administrația Publică . CNIPA, în conformitate cu Codul de administrare digital , supraveghează activitatea certificatorilor calificat. Începând cu 2006, a publicat un buletin cu scopul de a informa cu privire la activitatea de supraveghere desfășurate de CNIPA în acest domeniu. Activitatea de supraveghere este fundamentală pentru întregul sistem de semnături digitale, deoarece garantează menținerea posesiei cerințelor tehnice, organizatorice și corporative pe care trebuie să le dețină certificatorii calificați, în conformitate cu legislația în vigoare.

Deoarece 2012 CNIPA nu mai există , dar în locul ei este Agid .

Cadrul de reglementare

Italia

Directiva Europeană 1999/93 / CE , puse în aplicare prin Decretul legislativ din 23 ianuarie 2002, nr. 10 impune ca fiecare stat membru să se asigure că un sistem adecvat este configurat pentru a permite supravegherea furnizorilor de servicii de certificare stabiliți pe teritoriul lor și să elibereze certificate calificate pentru public. Acest organism a fost identificat prin articolul 31 din Codul de administrare digitală în Centrul Național pentru Tehnologia Informației în Administrația Publică. Prin urmare, CNIPA trebuie să respecte diferite dispoziții de reglementare care decurg din conferirea funcțiilor de supraveghere și control asupra activității certificatorilor calificați, precum și a celor care derivă din acreditarea voluntară. Pentru claritate de informații, vă rugăm să rețineți că certificatorului calificați sunt subiecții care intenționează să elibereze certificate calificate în conformitate cu Directiva Europeană 1999/93 / CE, subiecții care se disting în organisme de certificare acreditate și notificate. Diferența substanțială dintre cele două tipuri constă în faptul că primele sunt supuse unei investigații preliminare speciale menite să verifice dacă dețin cerințele cerute de reglementările relevante. În conformitate cu directiva europeană menționată anterior, CNIPA a fost desemnat, tot la nivelul UE, să funcționeze ca organism național de acreditare și supraveghere a activităților desfășurate de certificatori acreditați. În afară de respectarea obligațiilor de reglementare, supravegherea acestor subiecte este evident fundamentală pentru întregul sistem de semnături digitale din țara noastră. De fapt, robustețea algoritmilor utilizați, securitatea dispozitivelor securizate pentru generarea semnăturii ( smart card ), mecanismele criptografice utilizate, nu ar servi pentru a garanta nimic dacă subiectul care certifică corespondența dintre o cheie publică și datele personale ale titularului aceluiași, de exemplu, nu au acționat cu seriozitate și competență, garantând astfel nivelurile cerute de fiabilitate, calitate și siguranță. Trebuie remarcat faptul că legislația relevantă nu prevede nicio formă de sancțiune în cazul nerespectării de către certificatori. Normele existente în alte state membre ale " UE , da efectul progresiv în funcție de gravitatea detectată. De exemplu, există amenzi cuprinse între câteva sute de euro, până la limitarea intervențiilor care văd interdicția de a continua activitatea. În Italia , din moment ce nu este prevăzută nicio intervenție graduală, este doar posibil să se interzică părții care să continue activitatea de certificare. Această sancțiune, ale cărei efecte sunt greu de inversat sunt extrem de grave, nu a fost aplicată niciodată, deoarece nu este proporțională cu încălcările înregistrate până în prezent.

Din 2012, organismul italian care supraveghează aceste aspecte este Agid care, printre alte sarcini, acreditează (RA) organismele de certificare (CA).

AgID

În Italia, AGID este organismul public care acrediteaza subiecții de certificare ( de exemplu , Infocert, Aruba , Poste Italiane , etc). Pe lângă acreditarea certificatorilor, verifică munca acestora și emite reglementări în conformitate cu legislația actuală aplicabilă. Standardul european identifică certificatorii ca subiecte care furnizează „furnizarea de servicii de încredere calificate”.

În Italia, atunci când utilizatorii au nevoie de o aplicație sau un serviciu care trebuie să fie certificate digital ( PEC , timp de timbru , semnătură digitală , SPID ), acestea trebuie să contacteze o CA (entitate de certificare) sau un manager de certificat, nu RA desemnate prin lege. Acestea sunt emitenții / managerii care apelează la Agid pentru a fi acreditate ^[2] .

Notă

^ Termenul echivalent „organism de certificare“ (digital) este , de asemenea , folosit de multe ori.
^ Cel mai Termenul corect pentru acreditare AGID, în ceea ce privește serviciile de încredere, este „calificare“.

linkuri externe

Lista autorităților de certificare de către țările clasificate , pe tractis.com. Adus de 26 aprilie 2021 (arhivate de original pe 29 mai 2012).
DigitPA - organism național pentru digitalizarea administrației publice , pe digitpa.gov.it.

Portal de criptografie

Portal de securitate IT

[1] Termenul echivalent „organism de certificare“ (digital) este , de asemenea , folosit de multe ori.

[2] Cel mai Termenul corect pentru acreditare AGID, în ceea ce privește serviciile de încredere, este „calificare“.

[1]

[2]