Certificat digital

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Fără surse!
Această intrare sau secțiune despre subiectul criptografiei nu menționează sursele necesare sau cei prezenți sunt insuficienți .
Comentariu : Această intrare lipsește complet de surse
Puteți îmbunătăți această intrare adăugând citate din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor . Urmați sfaturile de proiectare de referință .
Diagrama: modul în care se realizează un certificat digital

În criptografia asimetrică, un certificat digital este un document electronic care certifică asocierea unică dintre o cheie publică și identitatea unui subiect (o persoană, o companie, un computer etc.) care susține că îl folosește în contextul procedurilor de criptare. autentificare asimetrică și / sau semnătură digitală .

Certificatul digital conține informații despre cheie, informații despre identitatea proprietarului (numit subiect) și semnătura digitală a unei entități care a verificat conținutul certificatului (numit emitent). Dacă semnătura este validă și software-ul care examinează certificatul are încredere în emitent, atunci acesta poate utiliza cheia respectivă pentru a comunica în siguranță cu subiectul certificatului. În sistemele de criptare a e-mailurilor, semnarea codului și semnătura electronică, un subiect al certificatului este de obicei o persoană sau o organizație.

Acest certificat, furnizat de o terță parte de încredere și recunoscut (de încredere ) ca autoritate de certificare (CA), este la rândul său autentificat pentru a evita falsificarea întotdeauna printr-o semnătură digitală sau criptată cu cheia privată a asociației, care apoi furnizează publicul asociat respectiv. cheie pentru a o verifica.

Cel mai comun format pentru certificatele de chei publice este definit de X.509 . Deoarece X.509 este foarte general, formatul este restricționat în continuare de profilurile definite pentru unele cazuri de utilizare, cum ar fi infrastructura cheii publice (X.509), astfel cum este definită în RFC 5280. Certificatul digital este imposibil de copiat sau fals și poate fi ușor să fie verificat online (sau prin mobil) de către potențialul cumpărător. „Costul marginal de producție” al certificatului digital este aproape de zero, ceea ce înseamnă că chiar și obiectele cu un preț unitar relativ scăzut ar putea fi protejate. [1]

Descriere

Încredere

În certificarea digitală și subiecte conexe, termenul de încredere este adesea folosit. Trust, în limba engleză computerizată, înseamnă generic „trust” sau „acord de încredere”. Încredere înseamnă „încredere” în sensul „fiabil, garantat, recunoscut”. Uneori, textele originale în limba engleză sunt redate în italiană, fără a traduce încrederea sau lăsând-o în engleză. În practică, încrederea este atât conceptul, cât și metodologia care vă permit să fiți „încrezători” (deoarece este garantată de autoritatea din fruntea trustului) de securitatea sistemului (funcționare, semnătură, driver, comunicație, rețea , software etc.).

Domeniul de aplicare

Scopul principal al unui certificat digital de a cripta comunicațiile sau informațiile sau, mai degrabă, de a furniza elemente de încredere (de încredere) care guvernează procesul de criptare. Certificatele sunt utile pentru criptografia cu cheie publică atunci când sunt utilizate pe scară largă. De fapt, schimbul sigur al cheii publice între utilizatori devine impracticabil, dacă nu imposibil, pe măsură ce numărul utilizatorilor începe să crească. Certificatele digitale sunt o soluție pentru a depăși această dificultate.

Scopul certificatului digital este de a se asigura că o cheie publică este asociată cu adevărata identitate a subiectului care o pretinde ca fiind a lor.

Într-un sistem de criptografie asimetric acest lucru poate fi foarte important: de fapt, orice mesaj criptat cu o anumită cheie publică poate fi decriptat doar de persoana care deține cheia privată relativă (caz de criptare asimetrică); deci, dacă suntem siguri că cheia publică aparține „ John Smith ”, atunci suntem siguri că doar „ John Smith ” va putea citi mesajele criptate cu acea cheie publică ca proprietar al cheii private respective.

Viceversa este valabilă și: dacă putem decripta un mesaj cu acea cheie publică atunci suntem siguri că acel mesaj a fost criptat de „ John Smith ” garantând autentificarea acestuia (cazul semnăturii digitale) (chiar dacă acest lucru nu implică faptul că acel mesaj a fost trimis de „ Mario Rossi ”, adică răspunde în fața omului în atacurile din mijloc ).

Operațiune

Prin urmare, în principiu, dacă Mario Rossi dorea să trimită / primească un mesaj criptat sau dorea să semneze digital un document, el trebuia să dezvăluie cheia sa publică celorlalți actori ai comunicării. Fiecare persoană care o deține putea trimite sau primi mesaje sigure de la el prin criptare asimetrică cu acea cheie publică sau poate primi documente semnate de el cu cheia privată și apoi să verifice semnătura cu cheia publică menționată anterior; cu toate acestea, orice persoană ar putea dezvălui o cheie publică diferită (a cărei cheie privată o cunoștea) și a putea declara că era cheia publică a lui John Smith .

Pentru a evita această problemă, John Smith introduce apoi cheia sa publică într-un certificat semnat de un terț de încredere („ terț de încredere ”): toți cei care recunosc acest terț trebuie pur și simplu să verifice semnătura acestuia pentru a decide dacă cheia publică aparține cu adevărat lui Mario Rossi .

Într-un PKI , terțul de încredere va fi o autoritate de certificare care va semna și certificatul pentru validare. Cu toate acestea, în rețeaua de încredere , terțul poate fi orice utilizator (adică semnătura este aceea a utilizatorului însuși (o autocertificare) sau a altor utilizatori („ aprobări ”)) și va fi responsabilitatea celor care doresc să comunice cu Mario Rossi decid dacă acest terț este suficient de demn de încredere .

În ambele cazuri, semnătura certifică faptul că cheia publică declarată în certificat aparține subiectului descris de informațiile de pe certificat (nume, prenume, adresa de domiciliu, adresa IP etc.).

Tipuri de certificate

Server certificat TLS / SSL

TLS (cunoscut anterior ca SSL) este un server necesar pentru a prezenta un certificat ca parte a configurării conexiunii inițiale.

Un client care se conectează la acel server va rula algoritmul de validare a căii de certificare:

  • Subiectul certificatului este numele de gazdă la care clientul încearcă să se conecteze
  • Certificatul este semnat de o autoritate de certificare de încredere.

Numele principal de gazdă (numele domeniului site-ului) este listat ca nume comun în câmpul Subiect al certificatului. Un certificat poate fi valid pentru mai multe nume de gazde (mai multe site-uri web). Aceste certificate sunt denumite în mod obișnuit certificate de nume alternativ subiect (SAN) sau certificate de comunicații unificate (certificate UCC). Dacă unele dintre numele gazdei conțin un asterisc (*), un certificat poate fi numit și un certificat cu caractere wildcard.

Un server TLS poate fi configurat cu un certificat autosemnat. În acest caz, clienții nu vor putea de obicei să verifice certificatul și să încheie conexiunea, cu excepția cazului în care verificarea certificatului este dezactivată.

Certificat de client TLS / SSL

Certificatele de client sunt mai puțin frecvente decât certificatele de server și sunt utilizate pentru autentificarea clientului care se conectează la un serviciu TLS, de exemplu pentru a oferi controlul accesului. Deoarece majoritatea serviciilor oferă acces la persoane fizice mai degrabă decât la dispozitive, majoritatea certificatelor de clienți conțin o adresă de e-mail sau un nume personal, mai degrabă decât un nume de gazdă. De asemenea, de vreme ce autentificarea este gestionată de obicei de furnizorul de servicii, certificatele clientului nu sunt în general emise de o CA publică care furnizează în schimb certificate de server. Certificatele de clienți sunt acceptate de multe browsere web, dar majoritatea serviciilor folosesc parole și cookie-uri pentru a autentifica utilizatorii, mai degrabă decât certificatele de client. Certificatele de client sunt mai frecvente în sistemele RPC, unde sunt utilizate pentru autentificarea dispozitivelor pentru a se asigura că numai dispozitivele autorizate pot face RPC apeluri.

Structura certificatelor

Structura unui certificat digital X.509 v3 este după cum urmează:

  • Certificat
    • Versiune
    • Număr de serie
    • ID algoritm
    • Corpul emițător
    • Valabilitate
      • Nu inainte
      • Nu după
    • Subiect
    • Informații despre cheia publică a subiectului
      • Algoritm pentru utilizarea cheii publice
      • Cheie publică
    • Codul unic de identificare al emitentului (opțional)
    • Codul unic de identificare al subiectului (opțional)
    • Extensii (opțional)
      • ...
  • Algoritm de semnare a certificatelor
  • Semnătura certificatului [2]

E-mail certificat

În protocolul S / MIME pentru e-mail securizat, expeditorii trebuie să afle ce cheie publică trebuie utilizată pentru un anumit destinatar. Aceștia primesc aceste informații dintr-un certificat de e-mail. Unele autorități de certificare publice de încredere furnizează certificate de e-mail, dar cel mai frecvent S / MIME este utilizat atunci când comunică într-o anumită organizație și organizația respectivă își administrează propria CA, care este de încredere de către participanții la acea electronică a sistemului de poștă.

Certificat de semnare a codului

Certificatele pot fi, de asemenea, utilizate pentru validarea semnăturilor din programe, pentru a se asigura că nu au fost modificate în timpul livrării.

Authenticode este un exemplu de schemă de semnare a codului.

Certificat calificat

Un certificat calificat este un certificat care identifică o persoană, de obicei în scopuri de semnătură electronică. Acestea sunt utilizate în mod obișnuit în Europa, unde regulamentul eIDAS standardizează și necesită recunoașterea lor.

Certificat intermediar

Un certificat intermediar este utilizat pentru a semna alte certificate, care nu sunt autosemnate. Un certificat intermediar trebuie să fie semnat de un alt certificat intermediar sau un certificat rădăcină.

Certificat autosemnat

Un certificat cu un subiect care se potrivește cu emitentul și o semnătură care poate fi verificată cu propria cheie publică. Majoritatea tipurilor de certificate pot fi autosemnate. Certificatele auto-semnate sunt denumite adesea și certificate petroliere pentru a sublinia lipsa lor de încredere.

Conținutul unui certificat

Un certificat include de obicei:

  • o cheie publică ;
  • date de identificare, care se pot referi la o persoană, un computer sau o organizație;
  • o perioadă de valabilitate;
  • adresa URL a listei de revocare a certificatului ( CRL );

Totul este semnat de o terță parte de încredere.

Liste de valabilitate și revocare

Un certificat are de obicei un interval de timp de valabilitate, în afara căruia trebuie considerat invalid. Un certificat poate fi revocat dacă se descoperă că cheia sa privată a fost compromisă sau dacă relația specificată în acesta (adică relația dintre un subiect și o cheie publică) este incorectă sau s-a schimbat; acest lucru s-ar putea întâmpla dacă, de exemplu, o persoană își schimbă locul de muncă sau adresa. Acest lucru înseamnă că un utilizator, pe lângă verificarea faptului că certificatul este de încredere (verificarea faptului că este semnat de o autoritate de certificare recunoscută) și nu a expirat, ar trebui să verifice dacă nu a fost revocat. Acest lucru se poate face prin lista de revocare a certificatului (CRL). O funcție cheie a PKI este de a menține CRL actualizat. O altă modalitate de a verifica validitatea unui certificat este interogarea CA printr-un protocol specific, cum ar fi, de exemplu, Protocolul de stare a certificatului online (OCSP).

Standarde de certificat

Cel mai comun standard pentru certificate este ITU-T X.509 . X.509 a fost adaptat la internet de către grupul de lucru al PKIX ' IETF (IETF PKIX Working Group).

Aplicații

Certificatele digitale sunt utilizate ca una dintre metodele de implementare a securității. Iată câteva dintre aceste utilizări.

Site-uri web

Cea mai obișnuită utilizare a certificatelor digitale este pentru accesarea site - urilor web prin HTTPS , adică protocolul HTTP prin SSL securizat. Prin intermediul certificatelor ne putem asigura că serverul la care sunteți conectat este autentic , adică este de fapt ceea ce pretinde că este. Protocolul SSL necesită ca, la conectare , serverul să furnizeze propriul certificat digital; dacă certificatul digital este semnat de o autoritate de certificare recunoscută de noi și decriptarea semnăturii certificatului este reușită, atunci putem folosi cheia publică prezentă în aceeași pentru a iniția o comunicare sigură.

Conexiuni de retea

Certificatele digitale sunt utilizate pentru a se asigura că conexiunea la rețea este criptată. Protocolul Kerberos este, de exemplu, garantat de un certificat digital. Diverse organizații publice și private au propriile certificate digitale utilizate pentru conexiunea wireless.

Mail confirmat

Furnizorii care furnizează serviciul PEC sigilează fiecare mesaj cu certificatul său.

Semnătură electronică avansată

Semnătura electronică avansată și derivatele sale își bazează caracteristica de autenticitate pe un certificat digital.

Timestamp-ul

Marcajul de timp este un serviciu care utilizează un certificat digital (sigiliu de anumită dată).

Ștampilă digitală

Un dispozitiv al PA italian (deși bazat pe metodologii internaționale), ștampila digitală utilizează un certificat digital pentru a garanta validitatea documentului tipărit (pe hârtie).

Notă

  1. ^ Împotriva falsurilor, certificate. Digital , pe punto-informatico.it . Adus la 5 decembrie 2017 .
  2. ^ Securitate / CertificateX509 - ubuntu-it Wiki , la wiki.ubuntu-it.org . Adus la 5 decembrie 2017 .

Elemente conexe

linkuri externe

Controlul autorității GND ( DE ) 4814408-3
Adus de la „ https://it.wikipedia.org/w/index.php?title=Certificato_digitale&oldid=122445900