Varmenneviranomainen

Salaustekniikassa varmenneviranomainen tai varmenneviranomainen ( eng. Certification Authority , CA ) on osapuoli (osasto, organisaatio), jonka rehellisyys on kiistaton ja julkinen avain tunnetaan laajalti. Varmentajan tehtävänä on todentaa salausavaimet sähköisen allekirjoituksen varmenteilla .  

Teknisesti CA on toteutettu osana globaalia hakemistopalvelua ja se vastaa käyttäjien salausavaimien hallinnasta . Varmentajat tallentavat julkiset avaimet ja muut tiedot käyttäjistä digitaalisten varmenteiden muodossa .

Varmenteen myöntäjän tarve

Epäsymmetrisen salauksen avulla voit salata yhdellä avaimella ja purkaa salauksen toisella. Siten yhtä avainta (salauksenpurkuavain, "salainen") pitää vastaanottava osapuoli ja toinen (salausavain, "avoin") voidaan saada suoran viestintäistunnon aikana, postitse, joka löytyy "sähköisestä" ilmoitustaulu" jne. Mutta tällainen viestintäjärjestelmä on edelleen haavoittuvainen hyökkääjälle, joka teeskentelee Liisaa , mutta antaa julkisen avaimensa, ei hänen.

Tämän ongelman ratkaisemiseksi varmenteen myöntäjä allekirjoittaa Alicen julkisen avaimen ja siihen liittyvät tiedot (nimi, viimeinen voimassaolopäivä jne.) . Tietenkin oletetaan, että varmenteen myöntäjä on rehellinen eikä allekirjoita hyökkääjän avainta. Ja toinen vaatimus: varmenneviranomaisen julkinen avain on jaettu niin laajasti, että jo ennen yhteyden muodostamista Alicella ja Bobilla on tämä avain, eikä hyökkääjä voi tehdä asialle mitään.

Kun verkko on erittäin suuri, varmenneviranomaisen kuormitus on suuri. Siksi varmenteet voivat muodostaa ketjuja: juurivarmentaja allekirjoittaa yrityksen turvallisuuspalvelun avaimen ja yritys työntekijöiden avaimet. Kaikkien ketjun jäsenten on oltava rehellisiä, ja riittää, että juurikeskuksella on laajalti tunnettu avain.

Lopuksi tilaajien yksityiset avaimet paljastetaan aika ajoin. Siksi, jos on mahdollista olla suoraan yhteydessä varmenneviranomaiseen, viimeksi mainitun olisi voitava peruuttaa "alaistensa" varmenteet.

Jos on halpa avoin viestintäkanava (Internet) ja kallis salainen (henkilökohtainen tapaaminen), on olemassa itse allekirjoitettuja varmenteita . Niitä, toisin kuin perinteisiä, ei voida muistaa etäältä. Juurisertifikaatit ovat myös teknisesti itse allekirjoitettuja.

Perustiedot

Varmenneviranomainen on komponentti, joka vastaa käyttäjien salausavaimien hallinnasta.

Varmenneviranomaiset tallentavat julkiset avaimet ja muut tiedot käyttäjistä digitaalisten sertifikaattien muodossa, joilla on seuraava rakenne:

• todistuksen sarjanumero;
• sähköisen allekirjoitusalgoritmin objektitunniste ;
• varmenneviranomaisen nimi;
• todistuksen voimassaoloaika;
• varmenteen omistajan nimi ( varmenteen omistavan käyttäjän nimi );
• varmenteen omistajan julkiset avaimet (avaimia voi olla useita);
• varmenteen haltijan julkisiin avaimiin liittyvien algoritmien objektitunnisteet;
• varmentajan salaisella avaimella luotu sähköinen allekirjoitus (allekirjoitetaan kaikkien varmenteeseen tallennettujen tietojen hash-tulos).

Ero akkreditoidun keskuksen välillä on se, että se on sopimussuhteessa korkeamman varmentajan kanssa, eikä se ole ensimmäinen itse allekirjoitetun varmenteen omistaja sertifioitujen juurivarmenteiden luettelossa. Akkreditoidun viranomaisen juurivarmenteen varmentaa korkeampi varmenneviranomainen identiteettijärjestelmän hierarkiassa. Siten akkreditoitu keskus saa työn "teknisen oikeuden" ja perii "luottamuksen" akkreditoinnin suorittaneelta organisaatiolta.

Akkreditoitu avainvarmennuskeskus on velvollinen täyttämään kaikki sijaintimaan lainsäädännön tai akkreditointia suorittavan organisaation omien etujensa ja sääntöjensä mukaiset velvoitteet ja vaatimukset.

Akkreditointimenettelyn ja vaatimukset, jotka akkreditoidun avainvarmennuskeskuksen on täytettävä, määrittelee akkreditointia suorittavan valtion tai organisaation asianomainen valtuutettu elin.

Avainvarmentajalla on oikeus:

• tarjota palveluja sähköisen digitaalisen allekirjoituksen sertifikaattien varmentamiseen
• ylläpitää julkisen avaimen varmenteita
• vastaanottaa ja tarkistaa tiedot, joita tarvitaan vastaavuuden luomiseksi avainvarmenteessa määriteltyjen tietojen ja toimitettujen asiakirjojen välille.

Sertifiointikeskukset Venäjällä

Työn suorittamiseksi sertifiointikeskusten on oltava akkreditoituja 6. huhtikuuta 2011 annetun lain N 63-FZ [1] mukaisesti. [2] Tämä laki säätelee sähköisten allekirjoitusten käyttöä siviilioikeudellisissa liiketoimissa, valtion ja kunnallisten palvelujen tarjoamisessa, valtion ja kunnallisten tehtävien hoitamisessa sekä muiden oikeudellisesti merkittävien toimien suorittamisessa. Julkisten palveluiden digitalisoinnin intensiivisen kehittämisen yhteydessä vuonna 2021 varmennekeskusten toiminnan määräyksiä on muutettu merkittävästi.

Sähköisten allekirjoitusten käsittely Venäjän federaation sertifiointikeskuksissa

• Venäjän federaatiossa sähköisten allekirjoitusten varmennuskeskuksia käytetään toisinaan sähköisten allekirjoitusten väärentämiseen [3] . Venäjän federaation tilikamarin tilintarkastajien mukaan eläkesäästöjen massiivisten laittomien siirtojen jälkeen PFR:stä NPF:ään akkreditoitujen sertifiointikeskusten toimet vakuutuksenantajan vaihtamista koskevien hakemusten siirtämiseksi edellyttävät viestintäministeriön erityistarkastusta. [4] Tosiasia on, että Tatyana Golikovan johtama tilikamarin kollegio tuomitsi jotkin toimivaltaiset viranomaiset vakuutetun sähköisen allekirjoituksen laittomasta käytöstä sekä asiakirjojen laatimisesta ilman kansalaisen osallistumista [5] . "Tilintarkastuskamarin tarkastus paljasti jälleen massiivisia rikkomuksia jopa tehostettujen sähköisen allekirjoituksen suojatoimenpiteiden yhteydessä", kommentoi APPF:n presidentti Sergei Belyakov [6] , ja lisäksi todisteet CA:n allekirjoituksista manipuloimisesta olivat niin vakuuttavia. että PFR lopetti hakemusten vastaanottamisen eläkesäästöjen siirtämiseksi sertifiointikeskusten kautta [7] . Venäjän eläkesäätiö kutsui tapausta pilottihankkeen seuraukseksi, mutta ei kiistänyt, että siirrot olisivat mahdollisia muun muassa sertifiointikeskusten kanssa yhteistyössä toimivien agenttien kautta [8] , "ei kestävillä" perusteluilla PFR:n kantana oli puheenjohtaja. Tilintarkastustuomioistuin Tatyana Golikova [9] . Jotkut asiantuntijat väittivät, että sähköisten allekirjoitusten massaväärennös tapahtui käyttämällä uudelleen asiakkaan sähköistä allekirjoitusta varmenneviranomaisen toimesta [10] . Tämän seurauksena, epäiltyään CA :n ja NPF :n välistä salaista yhteistyötä , työministeriö kehitti ehdotuksen sertifiointikeskusten sulkemiseksi pois kansalaisten sähköisten NPF-hakemusten jättämisjärjestelmästä , johon valtiovarainministeriö ja talouskehitysministeriö lähetti negatiivisen palautteen ja esti työministeriön aloitteen laittomana [11] , mutta luottamus Venäjän CA:han meni peruuttamattomasti [12] .
• Toinen tapa käsitellä sähköisiä allekirjoituksia varmenneviranomaisen kautta on se, että asiakkaalle tarjotaan pätevän varmenteen etämyönnystä ilman henkilökohtaista yhteyttä hakijan ja varmennekeskuksen rekisteröintiosaston työntekijän välillä , tässä tapauksessa sähköinen allekirjoitus myönnetään. etänä hakijan Internetin kautta varmenneviranomaiselle toimittamien asiakirjojen perusteella [13] . Tällaisten toimien seurauksena, jotka Garant -oikeusjärjestelmän asiantuntijoiden mukaan johtuvat siitä, että " IT-toiminnot Varmentajan toiminnassa ovat etusijalla sen oikeudelliseen olemukseen nähden ", sähköistä allekirjoitusta voivat käyttää häikäilemättömät kolmannet osapuolet [14 ] . Sähköisen allekirjoituksen varmenteen myöntämistä käsin kirjoitetulla valtakirjalla ei voida hyväksyä [15] .

Katso myös

• Rutoken
• VeriSign
• Salataan
• GlobalSign
• Varmenteiden peruutusluettelo

Muistiinpanot

1. ↑ liittovaltion laki sähköisestä allekirjoituksesta (muutettu 24. helmikuuta 2021) . https://docs.cntd.ru/ . docs.cntd.ru (24. helmikuuta 2021). Käyttöönottopäivä: 22.5.2021. (Venäjän kieli)
2. ↑ Sertifiointikeskusten akkreditointi . digital.gov.ru _ digital.gov.ru (22. toukokuuta 2021). Käyttöönottopäivä: 22.5.2021. (Venäjän kieli)
3. ↑ "PFR on keskeyttänyt hakemusten vastaanottamisen säästöjen siirtämiseksi Yhdistyneeseen kuningaskuntaan ja NPF:ään" 2008-2018 " Venäjän federaation eläkerahasto " päivätty 29.6.2017
4. ↑ ”Eläkesäästöjen siirtomenettely Eläkesäätiöstä sisältää riskejä yhteisyrityksen mukaan” MIA Rossija Segodnya 27.6.2017.
5. ↑ "Kansalaisilla ei ole mahdollisuutta saada ajantasaista tietoa tehdessään sopimusta NPF:n kanssa" " Venäjän federaation tilikamari " , 27. kesäkuuta 2017
6. ↑ "Yksinkertainen sähköinen allekirjoitus ei suojaa säästöjä" gazeta.ru , 31.7.2017 ,
7. ↑ "PFR toimii uudella tavalla tilikamarin kritiikin jälkeen" " Vedomosti " päivätty 28. kesäkuuta 2017
8. ↑ "Tilikamari viittasi manipulaatioihin kansalaisten eläkesäästöjen kanssa" " RBC " päivätty 27. kesäkuuta 2017
9. ↑ "Eläkesäästöjen siirron yhteydessä paljastettiin massiivisia väärennöksiä" " Vedomosti " päivätty 27.6.2017
10. ↑ "Sähköinen allekirjoitus epäluottamuksesta " RBC No. 108 (2604) (2306) 23. kesäkuuta 2017: "NAPF:n neuvonantajan Valeri Vinogradovin mukaan varmennekeskuksessa luotua sähköistä allekirjoitusta tulisi käyttää kerran. Kerran käytettynä keskuksen pitäisi poistaa se, hän sanoo. – Joulukuun lopussa näitä asiakkaiden sähköisiä allekirjoituksia käytettiin kuitenkin toisen kerran, asiantuntija toteaa .
11. ↑ "Työministeriö päätti vaikeuttaa eläkesäästöjen siirtoa" " Vedomosti " päivätty 16. tammikuuta 2017
12. ↑ "NPF:t ratkaisivat siirtymäongelman" Sanomalehti "Kommersant" nro 239, 22.12.2017, s. 10.
13. ↑ "Sähköisen allekirjoituksen antaminen ilman hakijan henkilökohtaista läsnäoloa rikkoo lakia" " Garant ", 7.12.2017
14. ↑ "Sähköisen allekirjoituksen antaminen ilman henkilökohtaista läsnäoloa rikkoo lakia" " Electronic Express ", 2018.
15. ↑ "Sähköisen allekirjoituksen varmenteen myöntämisen riskit käsinkirjoitetulla valtakirjalla " Garant Company 19.1.2018.

Linkit

• Luettelo varmenneviranomaisista maittain  (linkki, jota ei voi käyttää)
• CA :t Curlie Link Directoryssa (dmoz)
• Luettelo Firefoxin sisältämistä juurivarmenteista
• Yleiskatsaus CA:ista
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520