semnăturile electronice Lxf94
Protejați-vă datele
Partea 2 Este timpul pentru a consolida această practică de cunoștințe. Andrew Borovsky spune cum să obțineți un certificat digital și să-l utilizați într-un popular aplicații în aer liber.
Cum se obține un certificat
Alegerea metodei de obținere a certificatului depinde de scopul utilizării acestora. În cazul în care certificatele sunt utilizate pentru a asigura corespondența câțiva oameni care se cunosc „în viața reală“ (angajați ai companiilor mici, de exemplu), nimic nu împiedică să profite de „self-made“ certificat generat folosind utilitarul OpenSSL (așa cum se face, voi vorbi despre mai jos) . În cazul în care este necesar certificatul pentru mesaje cu străini într-o rețea globală, trebuie să contacteze una dintre autoritățile de certificare interne sau externe (CAS). În cele din urmă, în cazul în care este necesar certificatul de interacțiune cu agențiile guvernamentale din Federația Rusă, ar trebui să fie obținută într-unul din CA aprobat de către organele noastre de stat (a se vedea. Sidebar, „Particularitatile certificare națională“).
Primiți certificat gratuit
Cel mai faimos printre care oferă unele AC servicii cu titlu gratuit, sunt trei: Thawte Consulting, CAcert și Comodo Group. Fiecare dintre aceste CAs au avantajele și dezavantajele lor.
Fig. 1. certificat de "untrusted".
Compania Comodo Group (cunoscut de mulți din cauza firewall gratuit pentru Windows) utilizează pentru a distribui certificate în capacitățile Internet Explorer, astfel încât serviciile sale pentru noi nu este adecvat (desigur, instalați certificatul pe browser-ul Windows, apoi poate „drag and drop“ in orice alt program, inclusiv platforma Linux, dar cu siguranță nu vom face).
CA CAcert sprijină Windows și Linux, și în general, oferă o gamă largă de servicii gratuite, dar certificatul rădăcină (CC) din CAcert nu este pre-instalat în browsere populare și clienții de e-mail (cel puțin pentru moment), și aceasta înseamnă că, pentru certificatele CAcert certificatul de către contraparte va trebui să fie instalat de la KS CASert. Nu fiecare utilizator va fi de acord ceva acolo pentru a instala de pe Internet, mai ales ca mesajul browser-ul nu este găsit de către COP, uite înfricoșător. De exemplu, IE 7 sfătuiește chiar pe lam din situl CAcert (Fig. 1).
CA Thawte (pe bază, întâmplător, notoriu Mark Shuttleworth și apoi vândute companiei VeriSign) - un nume mare în lumea certificatelor digitale - oferă certificate gratuite pentru a certifica e-mail (dar nu și pentru SSL). Acest CA asigurat că certificatele sale pot fi instalate în orice sistem, în plus, COP din Thawte pre-instalat în aproape toate programele care lucrează cu certificate digitale. Dacă aveți nevoie de un certificat pentru a semna și cripta gratuit certificate THAWTE e-mail privat - cea mai bună alegere. dezavantaj thawte poate fi numit că, atunci când emiterea de certificate gratuite nu sunt acceptate cereri de certificat auto-generat (vezi. de mai jos), în plus, certificatul thawte nu acceptă instalarea în Konqueror. Acest lucru înseamnă că instalarea certificatelor THAWTE libere trebuie să utilizați Firefox sau Opera.
Certificatul pe Web
Există două scheme de obținere a certificatelor on-line. Într-un prim exemplu de realizare, și un certificat și o pereche de chei este generată de browser și accesați site-ul CA. Atunci când certificatul dvs. va apărea pe site-ul CAs, puteți instala certificatul (și cheia secretă furnizat) în browser. Pentru a importa un certificat și o cheie privată (SK) în Firefox, trebuie doar să faceți clic pe link-ul care indică spre un certificat pentru site-ul CA. Rețineți că, deși certificatul va fi stocat pe serverul CA, CK la certificatul puteți obține doar o singură dată, după care TC-l „uită“ (un certificat este inutil fără Marea Britanie).
A doua opțiune - pentru a crea o cerere pentru un certificat de utilitate OpenSSL și trimite-l pe site-ul CA (se pare că Konqueror nu poate genera cereri valabile pentru un certificat, așa că, dacă nu utilizați Firefox și Opera, această opțiune - pentru tine). Cererea de certificat este un document semnat utilizând o cheie privată din noua pereche de chei. Pentru a crea cererea de certificat, trebuie să generați chei:
Cheia privată este stocată în fișierul klient.key (ibid, de fapt, este menținută și cheia publică, fără de care Marea Britanie este, de asemenea, inutil). Ultimul număr din comanda șir - lungimea cheii în biți, care determină rezistența sa.
Cererea de certificat (fișier csr) este creat cu comanda:
Instalarea sub Linux Certificat Programul
Multe popular program de Linux acceptă certificate X.509 digitale. Ne vom uita la instalarea lor și de a folosi KMail, Thunderbird și suita OpenOffice.org. Pentru a putea semna propriile lor posturi, ar trebui să instalați programele cheie secretă și un certificat care să ateste cheia publică corespunzătoare. Pentru a cripta mesajele destinate pentru alții, este suficient pentru a stabili certificatele de corespondenți (certificate ale acestor programe de e-mail va extrage necesare pentru criptare cu chei publice). Certificat de corespondent dvs., puteți obține, de exemplu, împreună cu o scrisoare care conține o semnătură electronică.
În fereastra Manager de certificat care se deschide, selectați certificatul, apoi faceți clic pe butonul Backup. Vi se va cere să specificați o parolă pentru a proteja cheia privată, după care fișierul PKCS # 12 pot fi salvate pe disc. Cu managerul de certificate, puteți importa, de asemenea, un pachet de # 12 PKCS în browser-ul Firefox.
Dacă primiți un certificat și o cheie privată în format PEM, puteți utiliza utilitarul OpenSSL pentru a converti într-un PKCS # 12. În consola cu echipa (am păstra un PKCS # 12 pachet numit cert.p12):
în cazul în care cert.pem - fișier cu certificatul și cheia în format PEM, și cert.p12 - un nou fișier în format PKCS # 12.
Cu un certificat și o cheie privată în formatul * .crt, puteți, de asemenea, să le transforme într-un format PKCS # 12 folosind OpenSSL:
În cazul în care certificatul și cheia privată sunt stocate în fișiere diferite (de exemplu, generați o cheie pentru tine, și apoi să creați cererea de certificat), echipa a crea un PKCS # 12 pachet va arata diferit:
Aici cert.pem - fișierul certificatului descărcat de pe site-ul CA și client.key - fișierul cu cheia privată pe care l-ați creat pentru a genera cererea de certificat.
În toate cazurile, utilitarul OpenSSL vă solicită să specificați o parolă pentru a proteja pachetul PKCS # 12.
Instalarea unui certificat în KDE / KMail
Pentru a importa un pachet de certificate și chei private de la PKCS # 12 fișier (și alte formate) în KDE, pur și simplu deschideți fișierul certificat în Konqueror Manager și faceți clic pe butonul Import (parola va fi necesară pentru a proteja PKCS # 12 pachet). Certificatele de import KDE se pot utiliza, de asemenea, software-ul Kleopatra (Fig. 2).
Fig. 2. Kleopatra.
Programul va necesita o parolă care este protejat pachetul PKCS # 12, și apoi să vi se solicite noua parolă de două ori pentru a stoca datele din setările KDE. Instalați certificatul în KDE poate utiliza, de asemenea Desktop Centrul de Control KDE. În Centrul de Control, du-te la grupul de securitate Confidențialitate -> Crypto, deschideți fila Certificatele dvs. și utilizați butonul Import pentru a importa un certificat dintr-un fișier. În acest caz, programul întreabă dacă certificatul să fie accesibil KMail.
Fig. Setări 3. Criptare fereastră în Kmail.
Situația este ceva mai complicată dacă instalezi un certificat personal, certificat de certificatul rădăcină nu se află în sistemul dumneavoastră. Pentru a seta KDE, de exemplu, de la cacert COP, acesta trebuie mai întâi să fie importate în același mod ca și un certificat personal. După aceea, trebuie să adăugați un convertor digital Amprentă SHA-1 a certificatului rădăcină la lista gpgsm de certificate de încredere (lista de amprente de certificate de încredere stocate în fișierul
/.gnupg/trustlist. txt). Printuri SHA-1 din toate certificatele instalate, puteți utiliza comanda
Fig. 4. Fereastra KwatchGnuPG.
Cantilever gpgsm utilitate gpg-agent și de a efectua toate etapele asociate cu manipularea certificate X.509 și chei asociate în KDE, programul KMail le ruleaza ca procese externe. Vezi mesajele emise de aceste utilități, și să identifice cauza unor posibile defecțiuni, puteți folosi programul KWatchGnuPG (fig. 4).
Instalarea unui certificat în Thunderbird
Instalarea certificatului și cheia privată dintr-un PKCS # 12 fișier în Thunderbird se face cu ajutorul administratorului programului de certificat (Thunderbird ar putea prelua în sine certificate de la magazinul Firefox, dar el nu a făcut-o). Deschideți fereastra Preferințe Thunderbird, du-te la grupul de confidențialitate, faceți clic pe fila Securitate, apoi apelați managerul de certificate făcând clic pe View Certificate. Acum puteți adăuga un certificat făcând clic pe butonul Import.
În timpul instalării certificatului și a cheii private din PKCS # 12 pachet Thunderbird vă va cere două parole - parola de master, pe care programul le utilizează pentru a proteja cheile private stocate în setările sale, și protejate cu parolă PKCS # 12 pachet. Dacă utilizați certificatul cacert, de asemenea, trebuie să instalați CAcert COP. (COP disponibil în site-ul CAcert, acesta ar trebui să fie instalat în exact același mod ca și un certificat personal). Setarea COP, mergeți la fila Autorități din fereastra Manager de certificat, localizați lista COP dorită, faceți clic pe butonul Editați și bifați caseta Acest certificat poate identifica utilizatorii de poștă electronică.
Când trimiteți un mesaj semnat de la Thunderbird, aveți grijă la cutia poștală din care trimiteți un mesaj se potrivește cutia poștală specificată în certificat. La fel ca și client KMail, Thunderbird, înainte de a semna un mesaj, solicitând parola care protejează cheia privată.
Mesaj text e-mail utilizând OpenSSL
Dacă programul dvs. de e-mail favorit nu acceptă în mod direct certificatele X.509, aceasta nu înseamnă că nu le pot folosi. Cu ajutorul unui „certificat de SK +“ pachet OpenSSL utilitate și în format PEM (un astfel de pachet poate fi creat, de exemplu, prin utilizarea programului Kleopatra), puteți semna mesaje de e-mail care sunt stocate într-un fișier de pe disc:
Opțiunea -noverify va fi dezactivata verificarea certificatului de certificare semnătură. fișier mesaj-signed.eml va conține un mesaj semnat. Alte opțiuni vă permit să construiască OpenSSL acest utilitar într-un lanț de programe care efectuează pentru a crea și a trimite mesaje. Vă sfătuiesc să citiți documentația pentru acest utilitar puternic.
Utilizarea certificatelor în OpenOffice.org
Programul de OpenOffice.org poate fi folosit pentru a documenta cheile de semnare și certificatele instalate în browser-ul Firefox (OpenOffice este capabil de a prelua în mod automat certificatele de depozit Firefox). În cazul în care certificatul dvs. personal nu este instalat în Firefox, îl puteți instala folosind Firefox Manager de certificate așa cum este descris mai sus. Pentru a semna un document în OpenOffice.org, trebuie să selectați meniul de comandă File | Semnăturile digitale în caseta de dialog, faceți clic pe butonul Add. o listă a certificatelor personale vor fi deschise, în cazul în care puteți selecta certificatul / cheia pentru semnare.
Faptul că documentul OpenOffice este semnat și semnătura digitală este intactă, arată o pictogramă în fereastra OpenOffice bara de stare care arată documentul cu un sigiliu de culoare roșie (dacă schimbați documentul semnat, pictograma va dispărea).
triunghi galben cu un semn de exclamare pe pictograma indică faptul că autenticitatea verificarea certificatului de confirmare a semnăturii a eșuat. Aceasta se poate întâmpla în cazul în care CS corespunzător nu este instalat sau nu este instalat corect certificat de identitate destinat pentru conținutul semnăturii lui.
Pentru a corecta această problemă, deschideți fereastra Manager de Firefox certificat și faceți clic pe fila Autorități. În cazul în care COP pentru certificatul dvs. lipsește, acesta trebuie să fie instalat în Firefox. În cazul în care este instalat COP dorit, selectați-l în fereastra Manager de certificate și faceți clic pe butonul Editare. Bifați casetele Acest certificat poate identifica adresa de e-mail a utilizatorului și Acest certificat poate identifica software-ul.
semn de exclamare Bold pe o pictogramă care afișează starea semnăturii documentului OpenOffice, indică faptul că structura semnătura a fost rupt (sau autentificarea certificatului rădăcină nu este valid).
Caracteristici ale certificării naționale
Din motive evidente, controlul de stat (cel puțin parțial), utilizarea sistemelor de criptare, cetățenii lor, iar țara noastră nu este o excepție. Dacă am înțeles corect legile relevante ale țării (și nu pretind a corecta complet înțelegerea lor), de a utiliza programele care au trecut de certificare de stat, asigurați-vă că numai în interiorul statului organovRumyniyai atunci când interacționează cu cei. În alte cazuri, utilizatorul are dreptul de a proteja datele cu mijloacele aflate la dispoziția sa. centrele de certificare în țara noastră acolo, și ei sunt mulți. Printre algoritmii lor propuse și protocoale, semnătura electronică pot fi găsite ca unii invitați și descrise în diferite RFC și FIPS.
fișiere certificat X.509
- * .cer - certificat stocate în standardul CER. Acesta poate include un certificat, cheia privată, calea de certificare.
- * .der - certificate în standardul DER. Acesta poate include un certificat, cheia privată, calea de certificare.
- * .crt - fișier certificat în format CER, DER sau Netscape.
- * .pem - codificat Base64 certificat. Aceasta poate include, de asemenea, calea completă a certificatului și a certificatelor de chei private.
- * .p8 - fișier care conține cheia privată este protejată în conformitate cu standardul PKCS # 8.
- * .p12 (Windows utilizează extensia * .pfx) - fișier certificat este protejat în conformitate cu standardul PKCS # 12. Acesta poate include un certificat, cheia privată, calea de certificare.
Cum se ajunge la „web de încredere“?
Să considerăm ca exemplu activitatea Web de încredere Thawte. Pentru a obține dreptul de a adăuga numele în certificatul digital Thawte, trebuie să se întâlnească în persoană cu mai multe notar mi Thawte de WoT, și să le prezinte pe cele două documente și fotografii (precum și pentru a transfera o copie a acestor documente) care atestă identitatea (unul dintre documentele ar trebui să fie menționate în dvs. thawte cont).
De ce am nevoie pentru a se întâlni cu mai mulți notari WoT? La fel ca multe alte CAs, Thawte măsoară încrederea punctelor [puncte de afirmare]. Notari WoT nu atestați ei înșiși, ei vă atribui numai o anumită cantitate de puncte de încredere. Pentru a face un nume în certificatul Thawte, trebuie să colecteze 50 de puncte, și așa mai departe pentru a deveni un notar - 100 de puncte. În același timp, fiecare notar Thawte WoT poate atribui tine de la 10 la 35 de puncte, nu mai mult (această restricție face dificilă încredere în achiziționarea de către mituirea notarii care utilizează relații personale cu notari, presiunea asupra lor, etc.). Toate acestea sunt un pic ca un joc de rol cu punctele „Expo“. Lucru bun pentru punctele de încredere râvnit nu are nevoie să câștige meciul de pe sabie de plastic!
Thawte Notarii au WOT în țara noastră (cel puțin în marile orașe, informații mai exacte pot fi obținute prin înregistrarea pe site-ul Thawte). Unii notari își oferă serviciile gratuit, în timp ce altele - pentru o taxă modestă (1-2 USD). În cazul în care acreditare folosind notari nu va convine, oferă și alte metode Thawte de identificare (de exemplu, prin intermediul unei terțe părți de încredere), dar va costa mai mult. Permiteți-mi să vă reamintesc că este vorba doar despre certificatele THAWTE, eliberate în mod gratuit. Certificat Complet Thawte comerciale pot fi obținute prin contactarea reprezentantului Thawte (în România, de exemplu, în compania RBC).
Cele mai grave utilizatori OpenPGP arata de multe ori în jos pe certificatele X.509 digitale. Cu toate acestea, în acest format certificate domina in afara de Linux, precum și pentru că avem nevoie să le folosim pentru a comunica cu utilizatorii non-Linux. În cele din urmă, respectarea tradițiilor altora - cel mai important principiu de comunicare prietenos.