ВЕБ ПОД ЗАМКОМ!
Технологии для создания защищенных соединений

Kirion (kkr@mailru.com)

Спецвыпуск Xakep, номер #030, стр. 030-014-3

ЧЕЛ, ПОДПИШИ МНЕ СЕРТИФИКАТ!

Однако есть и еще одна проблема, и связана она уже не с техникой, а с человеческим фактором. Итак, тебе нужно связаться с важным человеком, ты находишь в сети его открытый ключ, шифруешь сообщение, посылаешь... Стоп! А откуда ты знаешь, что открытый ключ именно его? А вдруг это злобный недруг, который перехватил чужой мыльник и теперь постит везде свой открытый ключ :). Проблема однозначного определения соответствия человека (группы людей, организации, мыльника, сайта и т.д.) и его открытого ключа - это довольно серьезная проблема. Решилась она с введением сертификатов и сертификационных центров (Certificate Authority, CA).

Сертификат устанавливает связь между открытым ключом и реквизитами его владельца, как то: адресом электронной почты, названием организации (именем), географическим местоположением, а также некоторыми параметрами самого ключа (алгоритм шифрования, ограничения, тип ключа) и сертификата. Каждый сертификат подписывается уполномоченной организацией - CA. Существует иерархия CA - наверху находятся так называемые корневые центры сертификации и далее по ступенькам к личным сертификатам. Корневой центр подписывает свой сертификат сам, а все последующие - у предыдущих центров. Сертификаты выдаются на определенное время (как правило, на год). Кроме того, сертификационные центры должны вести список отозванных сертификатов, недействительных сертификатов, сертификатов, лишившихся доверия. Естественно, они делают это не бесплатно. Так сертификат на год у РосБизнесКонсалтинга (как филиала Thawte) стоит около 200 баков. А вот сертификат у VeriSign (пожалуй, самая известная компания в данном секторе) стоит под 1000. За что такие деньги? А за доверие! Представь, что ты задался целью найти телефон Дани Шеповалова. Ты можешь пойти на рынок и купить телефонную базу России, а можешь довериться соседке тете Клаве, которая обязательно сообщит его тебе вместе с кучей сплетен и свежих новостей :). База стоит денег, а тетя Клава даст тебе инфу бесплатно, только вот если ты дозвонишься не Дане, а в приемную ФСБ - я не виноват :). Так какому сертификату ты будешь больше доверять: подписанному уважаемой мировой организацией или безымянным админом в соседней конторе?