Autoritate certificată

Diagrama unei infrastructuri Autoritatea de Certificare

În criptografie , o autoritate de certificare, sau a autorității de certificare (CA, în limba italiană: „autoritate de certificare“ ^[1] ), este o încredere treia parte, public sau privat, a permis să emită un certificat digital printr - o certificare de procedură care urmează internaționale standarde și în conformitate cu europene relevante la nivel național și legislație .

Sistemul în cauză folosește dubla criptografie cheie , sau asimetrică, în care una dintre cele două chei este făcută publică în cadrul certificatului ( cheia publică ), în timp ce al doilea, corelat în mod unic cu primul, rămâne secret și asociat cu proprietarul ( cheia privată ). O pereche de chei poate fi asociat unui singur proprietar.

Autoritatea are un certificat cu care sunt semnate toate certificatele emise pentru utilizatori, și, desigur, trebuie să fie instalat pe o mașină sigură.

Introducere

Autoritățile de Certificare sunt caracteristici ale unei infrastructuri de chei publice (PKI), organizată după cum urmează:

o politică de securitate care stabilește principiile generale;
o declarație practică certificat (CPS), care este documentul care ilustrează procedura de emitere, înregistrarea, suspendarea și revocarea certificatului;
o autoritate de certificare a sistemului (CA);
o autoritate de înregistrare sistem (RA), care este sistemul de înregistrare și autentificare a utilizatorilor care solicită certificatul;
un server de certificate sau Autoritatea de validare funcția (VA) , care certifică certificatul de utilizator / entitate corespondenta , în numele (în numele) CA.

Persoanele fizice, organizații, servere , aplicatii, site - uri web, rețele de interconectare pot fi certificate, Fiecare dintre ele indică CA în CPS sale , care sunt entitățile finale pe care este dispus să certifice și în ce scopuri de utilizare (certificate pentru semnarea și criptarea mesajelor de e-mail , rețea server de certificate de autentificare, etc.).

CA rădăcină

Infrastructura Un PKI este structurat ierarhic de mai multe CAs în partea de sus, care este o CA rădăcină care certifica sub-AC. Primul pas în construirea unei PKI este de a crea CA rădăcină de copac, care este CA. rădăcină Dacă rădăcina CA este rădăcina copacului care semnează certificatul? Răspunsul este foarte simplu: CA semnează propriul certificat în sine. În practică, publice și private , sunt create cheile, cererea de eliberare a unui certificat este creat și semnarea cu cheia sa privată. De aici nevoia de o bună reputație a unui CA: în practică , nu există nici o autoritate garant din punct de vedere arhitectural deasupra CA rădăcină; prin urmare, este necesar să se treacă la forme legale de garanție.

Un exemplu practic

Spre deosebire de criptare simetrică , care utilizează o singură cheie pentru a cripta și decripta, asimetrice sau chei publice de criptare utilizează două chei, o cheie publică și o cheie privată, unul pentru a cripta și cealaltă pentru a decripta, ambele legate printr - o funcție matematică. CAs sunt soluția la problema asocierii dintre o cheie publică și persoana care deține cheia sa privată. Să clarifice conceptul cu un exemplu: Alice și Bob doresc să facă schimb semnate și criptate mesaje; pentru a face acest lucru ambele crea propria pereche de chei publice și cele publice pe un server de chei . Apoi, Alice scrie un mesaj pentru Bob, semnele cu cheia ei privată encriptice cu cheia publică Bob, atunci mesajul este trimis. La primirea Bob decriptează mesajul cu cheia sa privată și verifică semnătura cu cheia publică a condus la Alice. Bob știe două lucruri în acest moment:

mesajul a avut ca scop el, deoarece el a fost capabil să-l decripta cu cheia sa privată
mesajul a fost semnat cu cheia privată în raport cu cheia publică pe care el a folosit pentru a verifica semnătura.

În același timp, Bob nu are nici o garanție că cheia este într-adevăr deținut de Alice. Continuând exemplul, să presupunem că o terță persoană, Mallory, reușește să intercepteze comunicarea în care Bob obtine cheia lui Alice și reușește să-l înlocuiască cu cheia publică, în care se pretinde a fi Alice. Bob nu are nici o modalitate de a descoperi înșelăciune. Pentru a rezolva situații de acest tip, sunt create AC care să aibă grijă de verificare și de a garanta corespondența dintre cheie și proprietar. Atunci când un utilizator solicită un certificat, CA verifică identitatea lor, apoi creează un document digital semnat cu cheia privată a AC și publicate. In exemplul de mai sus, să presupunem că Alice și Bob au cheile semnate de o CA care au ambele încredere. În acest caz, atacul lui Mallory nu mai este posibilă, deoarece este în imposibilitatea de a reproduce semnătura AC.

Procedura de certificare

Alice genereaza perechea ei cheie. Se contactează autoritatea de înregistrare a teritoriului său, se identifică și oferă cheia sa publică să fie certificate. RA aprobă cererea de certificare după controale adecvate, după care solicită CA, ales de Alice sau predefinite pentru teritoriu, pentru a genera un certificat pentru Alice. CA semnează certificatul generat pentru Alice cu propria sa cheie privată. Alice primeste certificatul semnat de CA și certificatul rădăcină al CA prin e-mail. De fiecare dată când semnează un document, Alice se va atașa certificatul digital sau numărul său de serie. certificatul Alice este publicat de CA pe propriul server certificat sau pe un site legat Autoritatea de validare VA.

CAs sunt organizații foarte importante în zilele noastre web peisaj; în general, toate site - urile care se ocupă cu comerțul electronic sau tranzacții on - line, cel puțin atunci când utilizatorul autentificării, prin transfer comunicarea HTTP protocolul la HTTPS protocolul; în timpul negocierii, clientul solicită certificatul de server și apoi se stabilește conexiunea securizată. Atunci când un browser - ul (dar , de asemenea , un client de e - mail, etc.) primește un certificat, acesta îl validează. În procesul de validare, se verifică dacă tot arborele CA conectat la certificatul este de încredere. În cazul în care toate implicate în emiterea AC certificatul în cauză sunt de încredere, certificatul este considerat valabil, în caz contrar, utilizatorul este întrebat ce să facă, și anume dacă să accepte sau nu. Problema încredere certificatului sau nu și, prin urmare, entitatea care a prezentat este transmisă utilizatorului. Deci, problema de încredere rămâne în întregime la latitudinea utilizatorului. Prin urmare , este automat că site - urile sau infrastructuri folosesc certificate emise Cas cunoscute pentru fiabilitatea lor. Unele site-uri pot opta pentru o auto-certificare numai pentru a împiedica terțe părți, prin analiza protocolul IP, de la citirea datelor schimbate între site-ul și utilizatorul.

Funcțiile unei Autorități de Certificare

acum conturăm sarcinile unui CA. standard de Procedeul ilustrat este o orientare care poate varia de la caz la caz:

identificarea anumitor care solicită certificarea cheii publice;
problema și publicarea certificatului (semnat cu propria cheie privată);
menținerea registrului cheii publice;
revocarea sau suspendarea certificatelor în cazul unei cereri de către partea interesată sau, în caz de abuz, falsificare etc. și, în același timp, actualizarea listei publice a certificatelor suspendate sau revocate (listă de revocare certificat);
răspuns (electronic) la cererile de transmitere a certificatelor.
se ocupă periodic cu publicarea a două liste de pe certificatul de server sau pe site-ul VA (Autoritatea de validare):

Lista de revocare certificate (CRL)
Certificat de suspensie Lista (CSL)

Supraveghere

Italia

Autoritățile de certificare sunt supuse unor reglementări stricte și supravegherea de către stat. Guvernul italian a fost primul la nivel european, iar printre primii la nivel mondial pentru a se obține un regulament de reglementare în acest sens, definirea normelor tehnice și logistice pentru a crea o infrastructură care ar putea elibera certificate digitale care au avut, în conformitate cu legea , aceeași valabilitate ca și semnătura olografă. Certificatele trebuie să fie emise Cas înregistrate în lista publică a Certificatorii , difuzate de către Centrul Național pentru Tehnologia Informației în Administrația Publică (CNIPA) . Acest organism funcționează la Președinția Consiliului pentru punerea în aplicare a politicilor ministrului reforme și inovații în PA, în sine , două unifică organisme pre-existente, inclusiv Autoritatea pentru Tehnologia Informației în Administrația Publică . CNIPA, în conformitate cu Codul de administrare digital , supraveghează activitatea certificatorilor calificat. Începând cu 2006, a publicat un buletin cu scopul de a informa cu privire la activitatea de supraveghere desfășurate de CNIPA în acest domeniu. Activitatea de supraveghere este fundamental pentru întregul sistem de semnătură digitală, deoarece garantează menținerea posesia cerințelor tehnice, organizatorice și juridice care certificatori calificate trebuie să posede, în conformitate cu legislația în vigoare.

Deoarece 2012 CNIPA nu mai există , dar în locul ei este Agid .

Cadrul de reglementare

Italia

Directiva Europeană 1999/93 / CE , puse în aplicare prin Decretul legislativ din 23 ianuarie 2002, nr. 10 impune ca fiecare stat membru să se asigure că un sistem adecvat este configurat pentru a permite supravegherea furnizorilor de servicii de certificare stabiliți pe teritoriul lor și să elibereze certificate calificate pentru public. Acest organism a fost identificat prin articolul 31 din Codul de administrare digitală în Centrul Național pentru Tehnologia Informației în Administrația Publică. Prin urmare, CNIPA trebuie să respecte diverse dispoziții de reglementare care decurg din atribuirea funcțiilor de supraveghere și control asupra activității certificatorilor calificate, precum și cele care decurg din acreditare voluntară. Pentru claritate de informații, vă rugăm să rețineți că certificatorului calificați sunt subiecții care intenționează să elibereze certificate calificate în conformitate cu Directiva Europeană 1999/93 / CE, subiecții care se disting în organisme de certificare acreditate și notificate. Diferența substanțială între cele două tipuri este că prima anchetă preliminară sunt supuse unei construcții care să permită verificarea că acestea îndeplinesc condițiile prevăzute cerute de reglementările relevante. În conformitate cu cele de mai sus Directiva Europeană, CNIPA a fost desemnat, de asemenea, la nivelul UE, să funcționeze ca acreditarea națională și organul de supraveghere cu privire la activitățile desfășurate de organisme de certificare acreditate. În afară de respectarea obligațiilor de reglementare, supravegherea acestor discipline este, evident, fundamental pentru întregul sistem de semnătură digitală în țara noastră. De fapt, robustetea algoritmilor utilizate, securitatea dispozitive securizate de generare a semnăturii ( smart card ), mecanismele criptografice utilizate, nu ar servi pentru a garanta nimic dacă subiectul care atestă corespondența dintre o cheie publică și datele personale ale titularului același, de exemplu, nu a acționat cu seriozitate și competență, garantând astfel nivelurile necesare de fiabilitate, calitate și siguranță. Trebuie remarcat faptul că legislația relevantă nu prevede nicio formă de sancțiune în cazul nerespectării de către certificatori. Normele existente în alte state membre ale " UE , da efectul progresiv în funcție de gravitatea detectată. De exemplu, există amenzi care variază de la câteva sute de euro, până la intervenții limită care văd interdicția de a continua activitatea. În Italia , din moment ce nu este prevăzută nicio intervenție graduală, este doar posibil să se interzică părții care să continue activitatea de certificare. Această sancțiune, din care efectele sunt dificil de a inversa sunt extrem de grave, nu a fost niciodată aplicată, deoarece nu este proporțională cu încălcările înregistrate până în prezent.

Din 2012, organismul italian care supraveghează aceste aspecte este Agid care, printre alte sarcini, acreditează (RA) organismele de certificare (CA).

AGID

În Italia, AGID este organismul public care acrediteaza subiecții de certificare ( de exemplu , Infocert, Aruba , Poste Italiane , etc). În plus față de acreditare a organismelor de certificare verifică regulamentele lor de lucru și emite, în conformitate cu legislația aplicabilă în vigoare. European identifică certificatori standard ca subiecți care furnizează „furnizarea de servicii de încredere calificate“.

În Italia, atunci când utilizatorii au nevoie de o aplicație sau un serviciu care trebuie să fie certificate digital ( PEC , timp de timbru , semnătură digitală , SPID ), acestea trebuie să contacteze o CA (entitate de certificare) sau un manager de certificat, nu RA desemnate prin lege. Acestea sunt emitenții / managerii care apelează la Agid pentru a fi acreditate ^[2] .

Notă

^ Termenul echivalent „organism de certificare“ (digital) este , de asemenea , folosit de multe ori.
^ Cel mai Termenul corect pentru acreditare AGID, în ceea ce privește serviciile de încredere, este „calificare“.

linkuri externe

Lista autorităților de certificare de către țările clasificate , pe tractis.com. Adus de 26 aprilie 2021 (arhivate de original pe 29 mai 2012).
DigitPA - organism național pentru digitalizarea administrației publice , pe digitpa.gov.it.

Portal de criptografie

Portal de securitate IT

[1] Termenul echivalent „organism de certificare“ (digital) este , de asemenea , folosit de multe ori.

[2] Cel mai Termenul corect pentru acreditare AGID, în ceea ce privește serviciile de încredere, este „calificare“.

[1]

[2]