Закрытый ключ и Открытый ключ
 
Если про все это очень коротко и от Славика, то пока читаем это:
На личном компе Славика (или в «Удостоверяющем центре») генерируются два ключа. Открытый и Закрытый. Закрытый ключ остается у Славика в секретном месте. Открытый ключ, раздается всем, с кем Славик будет работать в дальнейшем. Эти все товарищи, кому был дан Открытый ключ, будут шифровать сообщения для Славика Открытым ключом. Славик будет эти сообщения расшифровывать своим Закрытым ключом. И все, казалось бы, хорошо. Все в шоколаде и все замечательно. Но здесь есть большая засада. Она заключается в том, что может появиться некий "посредник". Злоумышленник, который так же сгенерирует себе два ключа. Открытый и Закрытый, и при этом, тупо, в интернете, выдаст себя за Славика, рассылая всем пользователям Открытый ключ, якобы, от Славика. Пользователи, получившие Открытый ключ злоумышленника, не ведая этого, зашифруют для Славика конфиденциальное сообщение Открытым ключом злоумышленника, и злоумышленник расшифрует эти сообщения (адресованные Славику) своим Закрытым ключом. Даже если такое сообщение и попадет к Славику, то он его все равно не сможет расшифровать. Его Закрытый ключ для этого не подойдет.

 
Дык вот!!! Чтобы избежать подмены в сети Открытых ключей, для этого служат Сертификаты, накладываемые на Открытые ключи. Сертификаты делают Открытый ключ привязанным только к истинному, конкретному владельцу Открытого ключа. Механизм того, как на Открытый ключ накладывается Сертификат и как в дальнейшем проверяется истинный пользователь Открытого ключа, читаем ниже, в разделе «Сертификат».

 
Все то же самое, но более коротко и другими словами. Источник из форума:
http://forum.ixbt.com/topic.cgi?id=22:68482
Есть пользователи A и B. Пользователю A нужно передать пользователю B секретную информацию. Для этого пользователь B передаёт пользователю A свой Открытый ключ. Используя этот ключ, пользователь A зашифровывает секретное сообщение и передаёт его пользователю B. Пользователь B, используя свой секретный Закрытый ключ, расшифровывает секретное сообщение. Таким образом, злоумышленник может перехватить либо Открытый ключ, либо зашифрованное сообщение в момент их передачи. Но с помощью Открытого ключа злоумышленник ничего не сможет расшифровать. А Закрытый ключ хранится в надёжном месте у пользователя B и никуда не передаётся. В этом и заключается выгода от использования Открытых и Закрытых ключей.

 

Электронная цифровая подпись
 
Так же следует знать еще один очень важный момент в электронном документообороте. Это «Электронная цифровая подпись». Если очень коротко и по Славиковски, то «Электронная цифровая подпись» не существует в готовом виде никогда! Ее просто нет в природе! Она не существует в виде файла или еще чего либо. ЭЦП на самом деле появляется, создается, рождается лишь в тот момент, когда документ подписывается секретным Закрытым ключом. То есть документ не подписывается «Электронной цифровой подписью»! Это в корне неверное выражение и утверждение. Документ подписывается ТОЛЬКО Закрытым ключом, а вовсе не «Электронной цифровой подписью», которой, повторюсь еще раз, не существует в природе! И только после подписывания документа Закрытым ключом, только в этот самый важный и ответственный момент времени и появляется «Электронная цифровая подпись». Если очень просто, то механизм создания «Электронной цифровой подписи» таков: Берется любой документ, любой длины, рассчитывается его контрольная сумма, и это контрольная сумма зашифровывается Закрытым ключом. И в итоге, получившийся шифр – это есть наша долгожданная «Электронная цифровая подпись»!!! Ура товарищи!!! Она наконец-то появилась и родилась на свет, в тяжелых муках процессорных вычислений. И вот эта, родившаяся на свет, подпись, уже внедряется в тело нашего документа или просто прилагается к документу в виде отдельного файла. Сам документ при этом вовсе не шифруется. Нам, это и не нужно. Наш документ вовсе не секретный. Нам нужно лишь убедить пользователя, который получит наш документ в том, что этот документ написал именно Славик и в том, что этот документ никем по дороге не был изменен. И в этом пользователю, получившему документ, уже поможет свободно распространяемый Открытый ключ Славика. С помощью этого Открытого ключа, пользователь, получивший послание Славика, раскодирует шифр ЭЦП, вытащит из этой ЭЦП, контрольную сумму присланного документа и сравнит ее с заново вычисленной контрольной суммой присланного документа. Если контрольная сумма, вытащенная из ЭЦП, совпадает с контрольной суммой присланного документа, это значит, что документ подписывался именно секретным Закрытым ключом Славика и при этом, по дороге, документ ни кем не был изменен.
 
И последнее. Разумеется, исходя из всего выше сказанного, для каждого разного документа, «Электронная цифровая подпись» РАЗНАЯ!!! Потому что «Электронная цифровая подпись» - это есть всего лишь обычный шифр, содержащий в себе контрольную сумму пересылаемого документа. И конечно, для каждого документа, этот шифр будет разный. Поэтому не следует путаться в терминах. Повторюсь еще раз. Документ не подписывается ЭЦП. Документ подписывается Закрытым ключом. И только после этого появляется на свет "Электронная цифровая подпись".
 
В «Электронную цифровую подпись» так же закладывается следующая информация:
- имя файла открытого ключа подписи
- информация о лице, сформировавшем подпись
- дата формирования подписи
------------------------------------------------------------
 

 

Далее идет инфа нарытая мною в инете и скопированная сюда. Источников уже не помню, поэтому прошу сори у правообладателей. Иногда я делал вольные вставки своего лично текста, так как писал, собственно, все это, для себя лично.
 

 
Сертификат

 
Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с Открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к Открытым ключам. Как писалось выше, злоумышленник может выдать свой личный Открытый ключ за чужой ключ. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (Открытый) она публикует каким-либо образом. Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой Открытый ключ, выдав его за ключ Алисы. В таком случае Давид сможет расшифровывать и читать, по крайней мере, ту часть сообщений, предназначенных Алисе, которые были по ошибке зашифрованы его поддельным Открытым ключом.
 
Идея сертификата - это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их Открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.
 
Если Алиса сформирует сертификат со своим Открытым публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности Открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает «Удостоверяющий центр».
 
Формальное описание Сертификата
 
Пусть имеются две стороны информационного обмена - A_1, A_2 - и третья сторона A_3, которой доверяют A_1 и A_2. Стороне A_1 принадлежит пара (K1_o, K1_s), где K1_o - Открытый ключ, K1_s - Закрытый (секретный) ключ. Стороне A_3 принадлежит своя пара ключей (K3_o, K3_s).
 
Сторона A_1 регистрируется у A_3, указывая данные о себе и свой Открытый ключ K1_o. A_3 выдает стороне A_1 сертификат S, устанавливающий соответствие между стороной A_1 и ее Открытым ключом K1_o.
 
S - (сертификат) содержит в себе Открытый ключ K1_o, сведения о A_1, название стороны A_3, личную подпись «ЭЦП» A_3 (результат применения хеш-функции к данным сертификата с использованием секретного Закрытого ключа третьей стороны K3_s) и другую информацию… Тут следует сделать паузу и подчеркнуть еще раз этот самый важный момент. Пишем это еще раз, но немного иначе: На выданный стороне А_1 сертификат, накладывается Электронная цифровая подпись «Удостоверяющего центра», созданная с помощью личного секретного Закрытого ключа «Удостоверяющего центра», и которую можно легко перепроверить Открытым ключом «Удостоверяющего центра». Почитать про ЭЦП можно выше.
 
Сторона A_1 посылает стороне A_2 свой сертификат S, подписанный с помощью своего личного Закрытого ключа K1_s. Вторая сторона A_2 извлекает из сертификата S Открытый ключ K1_o и проверяет с его помощью Электронную цифровую подпись первой стороны A_1. Корректность ЭЦП подтверждает, что K1_o действительно принадлежит A_1. И читаем дальше...
 
Затем с помощью широко известного Открытого ключа третей стороны («Удостоверяющего центра»), K3_o проверяется подпись стороны A_3. Если подпись корректна - значит A_1 действительно прошел регистрацию у третьей стороны A_3.
 
Структура сертификата:
Электронная форма сертификата определяется стандартом X.509. Перечень обязательных и необязательных полей, которые могут присутствовать в сертификате, определяется данным стандартом, а также законодательством. Согласно законодательству России и Украины (закон «Об электронной цифровой подписи») сертификат должен содержать следующие поля:
 
1. уникальный регистрационный номер сертификата
2. даты и время начала и окончания срока действия сертификата
3. фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца
4. открытый ключ
5. наименование и реквизиты ЦС
6. наименование криптографического алгоритма
7. информацию об ограничении использования подписи
8. указание на страну выпуска сертификата
 
Кроме этого в сертификат могут вноситься дополнительные поля.
 

 
Симметричное и Несимметричное шифрование
 
По простому:
Есть два основных вида шифрования: с симметричными и несимметричными ключами. Понятие Закрытый ключ используется в обоих. Открытый - в несимметричном.
 
В варианте симметричного шифрования. У вас есть ключ и алгоритм его применения к данным. Для шифрования/расшифрования используется один и тот же ключ. Сохранность ключа - одна из основных проблем (особенно при передаче между абонентами). Потому и ключ - Закрытый.
 
Несимметричное шифрование. У вас есть два ключа: Закрытый - для расшифрования, и Открытый для зашифрования. Открытый потому что его можно раздавать без угрозы для Закрытого ключа. Закрытый ключ так же используется для создания «Электронной цифровой подписи».
 

PKI

Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure) — набор средств (технических, материальных, людских и т. д.), распределенных служб и компонентов, в совокупности используемых для поддержки криптозадач на основе Закрытого и Открытого ключей.

В основе PKI лежит использование криптографической системы с Открытым ключом и несколько основных принципов:
1. Закрытый ключ известен только его владельцу;
2. "Удостоверяющий центр" создает сертификат Открытого ключа, таким образом, удостоверяя этот ключ;
3. Никто не доверяет друг другу, но все доверяют "Удостоверяющему центру";
4. "Удостоверяющий центр" подтверждает или опровергает принадлежность Открытого ключа заданному лицу, которое владеет соответствующим Закрытым ключом.
 
Фактически, PKI представляет собой систему, основным компонентом которой является "Удостоверяющий центр" и пользователи, взаимодействующие между собой посредством "Удостоверяющего центра".


Аминь! :)
 

 


Почитать про это можно тут:
https://www.pgpru.com/biblioteka/osnovy/vvedenievkripto/glava1
 

Обсудить на форуме можно тут:
http://ntelekom.sytes.net/forum/viewtopic.php?p=4328
 

 

Отзыв об этой Эпопее можете оставить в моей Гостевой книге. :)

Последнее обновление странички
Дата:     26 августа 2013 г.
Время:  11:17