Читаем Введение в криптографию (ЛП) полностью

Как было описано в параграфе "Инфраструктуры открытых ключей (PKIs)", некоторые компании уполномочивают один или несколько Центров сертификации (ЦС) на проверку подлинности сертификатов. В организации, использующей PKI с сертификатами Х.509, задача Центров регистрации состоит в приёме запросов на сертификаты, а задача Центров сертификации — в выдаче сертификатов конечным пользователям: процесс ответа на запрос пользователя на получение сертификата. В организации, использующей сертификаты PGP без PKI, задача ЦС — в проверке достоверности всех PGP-сертификатов и подписании подлинных. Как правило, основная цель ЦС — собственной подписью "связать" открытый ключ с идентификационной информацией, содержащейся в сертификате, чем заверить третьих лиц, что были приняты определённые меры по установлению связи между ключом и идентификационными сведениями.

Центр сертификации в организации — это краеугольный камень системы подлинности и доверия; в некоторых организациях, как, например, в тех, которые используют PKI, ни один сертификат не считается подлинным, пока не будет подписан доверенным ЦС.

Один из способов определения подлинности сертификата — некоторая механическая процедура. Существует несколько методик её проведения. Например, вы можете попросить своего корреспондента передать копию его открытого ключа "физически", то есть вручить на жёстком носителе — магнитном или оптическом диске и т. п. Но зачастую это бывает неудобно и неэффективно.

Другой вариант — сверить отпечаток (fingerprints) сертификата. Насколько уникальны отпечатки пальцев людей, настолько же уникальны и отпечатки каждого сертификата PGP. Отпечаток — это хэш-значение сертификата пользователя, которое показано как одно из его свойств. В PGP отпечаток может быть представлен или как шестнадцатеричное число, или как набор так называемых биометрических слов, фонетически чётких и применяемых для упрощения вербальной идентификации отпечатка.

Вы можете определить подлинность сертификата позвонив владельцу ключа (таким образом, что вы начнёте коммуникацию) и попросив его прочитать отпечаток с его ключа; вам же нужно сверить этот отпечаток против того, который находится на полученной вами копии. Такой способ допустим, если вам знаком голос корреспондента, но как вы установите личность того, с кем даже незнакомы? Некоторые с этой целью помещают отпечатки ключей на свои визитные карточки.

Ещё один метод определения подлинности чужого сертификата — положиться на мнение третьей стороны, уже установившей его подлинность.

ЦС, например, ответственен за детальную проверку принадлежности открытого ключа предполагаемому владельцу перед выдачей ему сертификата. Любой пользователь, доверяющий ЦС, будет автоматически расценивать подлинными все сертификаты, подписанные ЦС.

Параллельный аспект проверки подлинности и достоверности состоит в том, чтобы убедиться, что сертификат не был аннулирован (отозван). За дополнительной информацией по этому вопросу обращайтесь к параграфу "Аннулирование сертификата".

Вы сами удостоверяете сертификаты. Но вы также доверяете людям. Поэтому вы можете доверить людям и право удостоверять сертификаты. Как правило, если только владелец сам не вручил вам копию ключа, вы должны положиться на чьё-то чужое мнение о его подлинности.

В большинстве случаев пользователи полностью полагаются на ЦС в проверке подлинности сертификатов. Иными словами, пользователи убеждены, что ЦС провёл всю механическую процедуру проверки за них, и уверены в его поручительствах за подлинность заверенных им сертификатов. Такая схема работает только до некоторого предела в количестве пользователей PKI, перейдя который ЦС не сможет придерживаться прежнего уровня тщательности процедуры проверки. В этом случае становится необходимым добавление в систему дополнительных"поручителей".

ЦС также может быть мета-поручителем. Мета-поручитель не только сам заверяет ключи, но предоставляет и другим лицам (организациям) полномочия заверения. По аналогии с тем, как король передаёт свою личную печать или факсимиле приближённым советникам, чтобы те могли действовать от его имени, так и мета-поручитель уполномочивает других действовать в качестве доверенных поручителей. Эти доверенные поручители могут удостоверять ключи с тем же результатом, что и мета-поручитель. Однако, они не могут создавать новых доверенных поручителей.

"Мета-поручитель" и "доверенный поручитель" — это термины PGP. В среде Х.509 мета-поручитель называется корневым центром сертификации(root CA), а доверенные поручители — подчинёнными, или промежуточными, центрами сертификации(subordinate CAs, intermediate CAs).