Autoritate certificată

Diagrama unei infrastructuri a Autorității de certificare

În criptografie , o autoritate de certificare sau o autoritate de certificare ( CA ; în italiană: „Autoritatea de certificare” ^[1] ), este o a treia parte de încredere , publică sau privată, capabilă să emită un certificat digital printr-o procedură de certificare care respectă standardele internaționale și în conformitate cu legislația europeană și națională relevantă .

Sistemul în cauză folosește criptografie cu cheie dublă sau asimetrică, în care una dintre cele două chei este făcută publică în cadrul certificatului ( cheie publică ), în timp ce a doua, corelată în mod unic cu prima, rămâne secretă și asociată cu proprietarul ( cheie privată ). O pereche de chei poate fi alocată unui singur proprietar.

Autoritatea are un certificat cu care sunt semnate toate certificatele emise utilizatorilor și, desigur, trebuie să fie instalat pe o mașină sigură.

Introducere

Autoritățile de certificare sunt caracteristici ale unei infrastructuri cu cheie publică (PKI), organizate după cum urmează:

o politică de securitate care stabilește principiile generale;
o declarație de practică a certificatului (CPS), adică documentul care ilustrează procedura de emitere, înregistrare, suspendare și revocare a certificatului;
un sistem de autoritate de certificare (CA);
un sistem de autoritate de înregistrare (RA), adică sistemul de înregistrare și autentificare a utilizatorilor care solicită certificatul;
un server de certificate sau funcția Autorității de validare (VA) care certifică corespondența utilizator-certificat / entitate în numele (în numele) CA.

Persoanele, organizațiile, serverele , aplicațiile, site-urile web, rețelele de interconectare pot fi certificate, fiecare CA specifică în CPS-ul său care sunt entitățile finale pe care este dispusă să le certifice și în ce scopuri de utilizare (certificate pentru semnarea și criptarea mesajelor e-mail , certificate de autentificare a serverului de rețea etc.).

Rădăcină CA.

O infrastructură PKI este structurată ierarhic de mai multe CA-uri, în partea de sus a cărora se află o CA rădăcină care certifică sub-CA-urile. Primul pas în construirea unei infrastructuri PKI este crearea CA rădăcină a arborelui, care este CA rădăcină. Dacă rădăcina CA este rădăcina arborelui care semnează certificatul? Răspunsul este foarte simplu: CA își semnează propriul certificat. În practică, se creează cheile publice și private, se creează cererea pentru eliberarea unui certificat și semnarea cu cheia sa privată. De aici și necesitatea unei bune reputații a unei CA: în practică nu există autoritate garantă din punct de vedere arhitectural deasupra CA rădăcină; prin urmare, este necesar să se treacă la forme juridice de garanție.

Un exemplu practic

Spre deosebire de criptarea simetrică care folosește o singură cheie pentru criptare și decriptare, criptarea asimetrică sau cu cheie publică utilizează două chei, o cheie publică și o cheie privată, una pentru a cripta și cealaltă pentru a decripta, ambele legate printr-o funcție matematică. CA-urile reprezintă soluția la problema asocierii dintre o cheie publică și persoana care deține cheia sa privată. Să clarificăm conceptul cu un exemplu: Alice și Bob vor să schimbe mesaje semnate și criptate ; pentru a face acest lucru, ambii își creează propria pereche de chei și le publică pe un server de chei . Apoi Alice scrie un mesaj pentru Bob, îl semnează cu cheia privată și îl criptează cu cheia publică a lui Bob, apoi mesajul este trimis. La primire, Bob decriptează mesajul cu propria sa cheie privată și verifică semnătura cu cheia publică îndreptată către Alice. Bob știe două lucruri în acest moment:

mesajul i-a fost adresat pentru că a putut să-l descifreze cu cheia sa privată
mesajul a fost semnat cu cheia privată în raport cu cheia publică pe care a folosit-o pentru a verifica semnătura.

În același timp, Bob nu are nicio garanție că cheia este cu adevărat deținută de Alice. Continuând exemplul, să presupunem că o a treia persoană, Mallory, reușește să intercepteze comunicarea în care Bob obține cheia lui Alice și reușește să o înlocuiască cu cheia sa publică în care se preface că este Alice. Bob nu are cum să descopere înșelăciunea. Pentru a rezolva situații de acest tip, se creează CA care se ocupă de verificarea și garantarea corespondenței dintre cheie și proprietar. Când un utilizator solicită un certificat, CA își verifică identitatea, apoi creează un document digital semnat cu cheia privată a CA și publicat. În exemplul de mai sus, să presupunem că Alice și Bob au cheile semnate de un CA în care amândoi au încredere. În acest caz, atacul lui Mallory nu mai este posibil, deoarece nu poate reproduce semnătura CA.

Procedura de certificare

Alice își generează perechea de chei. Contactează autoritatea de înregistrare a teritoriului său, se identifică și furnizează cheia sa publică pentru a fi certificată. RA aprobă cererea de certificare după verificările corespunzătoare, după care solicită CA, aleasă de Alice sau predefinită pentru teritoriu, să genereze un certificat pentru Alice. CA semnează certificatul generat pentru Alice cu propria sa cheie privată. Alice primește prin e-mail certificatul semnat de CA și certificatul rădăcină al CA De fiecare dată când semnează un document, Alice își va atașa certificatul digital sau numărul de serie al acestuia. Certificatul Alice este publicat de CA pe propriul server de certificate sau pe un site conectat de autoritatea de validare VA.

AC sunt organizații foarte importante în peisajul web actual; în general, toate site-urile care se ocupă de comerț electronic sau tranzacții online, cel puțin la autentificarea utilizatorului, transferă comunicarea de la protocolul HTTP la protocolul HTTPS ; în timpul negocierii, clientul solicită certificatul de server și apoi se stabilește conexiunea securizată. Când un browser (dar și un client de mail etc.) primește un certificat, acesta îl validează. În procesul de validare, verifică dacă întregul arbore CA conectat la certificat este de încredere. Dacă toate CA-urile implicate în emiterea certificatului în cauză sunt de încredere, certificatul este considerat valid, altfel utilizatorul este întrebat ce să facă, adică dacă îl acceptă sau nu. Problema încrederii în certificat sau nu și, prin urmare, entitatea care l-a prezentat este transmisă utilizatorului. Deci, problema încrederii rămâne în totalitate în sarcina utilizatorului. Prin urmare, este automat ca site-urile sau infrastructurile să utilizeze certificate emise de CA-uri cunoscute pentru fiabilitatea lor. Unele site-uri pot opta pentru o auto-certificare numai pentru a împiedica terții, prin analiza protocolului IP, să citească datele schimbate între site și utilizator.

Atribuțiile unei autorități de certificare

Acum prezentăm sarcinile unei CA standard. Procedura ilustrată este un ghid care poate varia de la caz la caz:

identificarea sigură a persoanelor care solicită certificarea cheii publice;
eliberarea și publicarea certificatului (semnat cu propria cheie privată);
menținerea registrului de chei publice;
revocarea sau suspendarea certificatelor în cazul unei cereri de către partea interesată sau în caz de abuz, falsificare etc. și, în același timp, actualizarea listei publice a certificatelor suspendate sau revocate (lista revocării certificatelor);
răspunde (electronic) la cererile de transmitere a certificatelor.
se ocupă periodic de publicarea a două liste pe serverul de certificate sau pe site-ul VA (autoritatea de validare):

Lista de revocare a certificatului (CRL)
Lista de suspendare a certificatului (CSL)

Supraveghere

Italia

Autoritățile de certificare sunt supuse reglementărilor și supravegherii stricte de către stat. Guvernul italian a fost primul la nivel european și printre primii la nivel mondial care și-a dat o reglementare de reglementare în acest sens, definind regulile tehnice și logistice pentru a crea o infrastructură care ar putea emite certificate digitale care aveau, în conformitate cu legea , aceeași valabilitate ca o semnătură scrisă de mână. Certificatele trebuie să fie eliberate de AC înregistrate în Lista publică a certificatorilor , difuzată de Centrul Național pentru Tehnologia Informației în Administrația Publică (CNIPA) . Acest organism funcționează la președinția Consiliului pentru implementarea politicilor ministrului pentru reforme și inovații în AP, unifică în sine două organisme preexistente, inclusiv Autoritatea pentru tehnologia informației din administrația publică . CNIPA, în conformitate cu Codul de administrare digitală , supraveghează activitatea certificatorilor calificați. Din 2006 a publicat un buletin cu scopul de a furniza informații despre activitatea de supraveghere desfășurată de Cnipa în acest domeniu. Activitatea de supraveghere este fundamentală pentru întregul sistem de semnături digitale, deoarece garantează menținerea posesiei cerințelor tehnice, organizatorice și corporative pe care trebuie să le dețină certificatorii calificați, în conformitate cu legislația în vigoare.

Din 2012 CNIPA nu mai există, dar în locul său este Agid .

Cadrul de reglementare

Italia

Directiva europeană 1999/93 / CE , implementată prin Decretul legislativ din 23 ianuarie 2002, nr. 10 solicită fiecărui stat membru să se asigure că este creat un sistem adecvat care să permită supravegherea furnizorilor de servicii de certificare stabiliți pe teritoriul lor și să elibereze certificate calificate publicului . Acest organism a fost identificat prin articolul 31 din Codul de administrare digitală din Centrul Național pentru Tehnologia Informației din Administrația Publică. Prin urmare, CNIPA trebuie să respecte diferite dispoziții de reglementare care decurg din conferirea funcțiilor de supraveghere și control asupra activității certificatorilor calificați, precum și a celor care derivă din acreditarea voluntară. Pentru claritatea informațiilor, vă rugăm să rețineți că certificatorii calificați sunt subiecții care intenționează să elibereze certificate calificate în conformitate cu Directiva Europeană 1999/93 / CE, subiecte care se disting în certificatori acreditați și notificați . Diferența substanțială dintre cele două tipuri constă în faptul că primele sunt supuse unei investigații preliminare speciale menite să verifice dacă dețin cerințele cerute de reglementările relevante. În conformitate cu directiva europeană menționată anterior, CNIPA a fost desemnată, tot la nivelul UE, să funcționeze ca organism național de acreditare și supraveghere a activităților desfășurate de certificatorii acreditați. În afară de respectarea obligațiilor de reglementare, supravegherea acestor subiecte este evident fundamentală pentru întregul sistem de semnături digitale din țara noastră. De fapt, robustețea algoritmilor utilizați, securitatea dispozitivelor securizate pentru generarea semnăturii ( smart card ), mecanismele criptografice utilizate, nu ar servi pentru a garanta nimic dacă subiectul care certifică corespondența dintre o cheie publică și datele personale ale titularului aceluiași, de exemplu, nu au acționat cu seriozitate și competență, garantând astfel nivelurile cerute de fiabilitate, calitate și siguranță. Trebuie remarcat faptul că legislația relevantă nu prevede nicio formă de sancțiune în cazul nerespectării de către certificatori. Normele existente în alte state membre ale UE dau efectul de a fi proporțional treptat cu gravitatea detectată. De exemplu, există amenzi cuprinse între câteva sute de euro, până la limitarea intervențiilor care văd interdicția de a continua activitatea. În Italia , întrucât nu este prevăzută nicio intervenție treptată, este posibilă numai interzicerea părții implicite de a continua activitatea de certificare. Această sancțiune, ale cărei efecte sunt greu de inversat, sunt extrem de grave, nu a fost aplicată niciodată, deoarece nu este proporțională cu încălcările înregistrate până acum.

Din 2012, organismul italian care supraveghează aceste aspecte este Agid care, printre alte sarcini, acredită (RA) organismele de certificare (CA).

AgID

În Italia, AgID este organismul public care acredită subiecții care certifică (de exemplu Infocert, Aruba , Poste Italiane etc.). Pe lângă acreditarea certificatorilor, verifică munca acestora și emite reglementări în conformitate cu legislația actuală aplicabilă. Standardul european identifică certificatorii ca subiecte care furnizează „furnizarea de servicii de încredere calificate”.

În Italia, atunci când utilizatorii au nevoie de o aplicație sau un serviciu care trebuie să fie certificat digital ( PEC , ștampilă de timp , semnătură digitală , SPID ), trebuie să contacteze o CA (entitate certificatoare) sau un manager certificat, nu RA desemnat prin lege. Ei sunt emitenții / managerii care apelează la Agid pentru a fi acreditați ^[2] .

Notă

^ De asemenea, este adesea folosit termenul echivalent „organism de certificare” (digital).
^ Cel mai corect termen pentru acreditarea AgID, în legătură cu serviciile de încredere, este „calificare”.

linkuri externe

Lista autorităților de certificare pe țări clasificate , pe tractis.com . Adus la 26 aprilie 2021 (arhivat din original la 29 mai 2012) .
DigitPA - Organism național pentru digitalizarea administrației publice , pe digitpa.gov.it .

Portal de criptografie

Portal de securitate IT

[1] De asemenea, este adesea folosit termenul echivalent „organism de certificare” (digital).

[2] Cel mai corect termen pentru acreditarea AgID, în legătură cu serviciile de încredere, este „calificare”.

[1]

[2]