1

Тема: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Для транспортировки и хранения сертификата вместе с закрытым ключом -  pfx.

сертификат без закрытого ключа - .crt
закрытый ключ к нему - .key

отосзванный сертификат - .crl  - список таких сертификатов подгружается в криптопровайдер через ЦС или в него импортируется.

PKCS12 - стандарт определяет формат файла, используемый для хранения и/или транспортировки закрытого ключа.
Х509 -  формат информации, содержащейся в сертификате

OpenSSL - набор криптографических программ и библиотек - предоставляет средства для управления сертификатами и закрытыми ключами.
SSL - криптографический протокол, который обеспечивает безопасность связи клиента с сервером в сети.

TSP - штамп времени
OCSP - проверка актуальности сертификатов

Какие функции у удостоверяющего центра (УЦ) первого уровня?
1. Ведение реестра сертификатов открытых ключей, распечатка.
1.1 Реестр запросов на операции с сертификатами, самих операций с сертификатами - отзыв, приостановление, возобновление действия сертификатов.

2. Ведение реестра зарегистрированных пользователей.

3. Генерация открытых и закрытых ключей подписи.

4. Подтверждение подлинности ЭЦП.
- в электронных документах
- уполномоченного лица УЦ в изданных сертификатах открытых ключей.

4.1 Установление статуса сертификата открытого ключа на определенный момент времени.
cryptopro.ru/buy/price#ca цена УЦ порядка 5000 у.е.

5. Предоставление всем пользователям списка отозванных сертификатов (.crl)

Еще про УЦ  -  iitrust.ru/region/uc/


Имя файла базы данных состоит из имени центра сертификации и расширения ".edb

Цифр. подпись в Молдове - pki.cts.md.

Поделиться

2

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Пример импорта в браузер закрытого ключа из pfx файла:
wiki.webmoney.ru/projects/webmoney/wiki/Импорт_сертификата_в_браузере_Internet_Explorer

Поделиться

3

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Корневой сертификат - служит для проверки подлинности сайтов при установлении защищенного соединения по протоколу HTTPS.
Сертификат, принадлежащий Центру Сертификации, с помощью которого проверяется достоверность других выданных центром сертификатов.
С помощью корневого сертификата, который публично доступен, пользователи могут проверять сертификаты друг друга.

citforum.ru/security/cryptography/certificate_authority/

Поделиться

4

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Microsoft Base Cryptographic Provider  ?
infotecs.ru/downloads/product_full.php   -   ViPNet CSP бесплатны крипто провайдер

ViPNet CA Informing — продукт, предназначенный для информирования пользователей и администраторов УЦ о событиях, связанных с сертификатами, формирования отчетных материалов и экспорта сертификатов из реестра сертификатов
infotecs.ru/downloads/product_full.php?id_product=9174

Поделиться

5

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Юзеру:надо:
1. Создать закрытый + открытый ключ.
2. удостоверить открытый ключ в УЦ - подав запрос на сертификат (в нем - ФИО, открытый ключ, параметры, назначение сертификата, желаемый срок действия сертификата).
3. установить полученный сертификат в контейнер, системное хранилище.

Подписание и проверка ЭЦП при использовании криптопровайдера:
Юзер А подписывает док закрытым ключом.
Юзер Б
1. запрашивает в "хранилище сертификатов" сертификат открытого ключа юзера А.
2. Проверяет док открытым ключем юзера А из сертификата юзера А.

Поделиться

6

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Разница между
само подписным бесплатным и
платным сертификатами, выданными центром сертификации
- при использовании 2-го -  на сайте  посетитель никогда не увидит огромное предупреждение.

Поделиться

7

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Цифровая подпись - получают хеш данных закрытым, а затем шифруют полученное хеш-значение открытым ключом?

Когда ПО расшифровывает цифровую подпись, оно проверяет также корневой сертификат в системе.

Timestamp или временная метка используется для указания времени, когда цифровая подпись была сделана. Если такая метка присутствует, то приложение, которое проверяет подпись проверит был ли сертификат, связанный с подписью валидным на момент подписи. Если же такой метки нет, и срок сертификата уже закончился, то подпись будет считаться недействительной.

Пример:
Сертификат действителен с: 01.01. 2008  до 31.12.2010
Подпись сделана: 04.07.2009
Подпись проверена: 30.04.2012

Поделиться

8

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Тестовый Центр сертификации Криптопро.
cryptopro.ru/certsrv/certrqma.asp

Поделиться

9

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Архив дистрибутива  оценочной версии криптопровайдера  "Signal-COM CSP v.2" и "Signal-COM CSP SDK"
  с сертифицированным ФСБ России криптоядром из состава  СКЗИ "Крипто-КОМ 3.2" разработки "Сигнал-КОМ"
  находится по адресу:

e-notary.ru/files/download/csp/csp.html

  Руководство пользователя - в папке Start/Programs/Signal-COM CSP,

Поделиться

10

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Строение и возможности Crypto API:
rsdn.ru/article/crypto/usingcryptoapi.xml

Поделиться

11

Re: Сертификаты и Удостоверяющие центры. Криптопровайдеры.

Signal-COM

Signal-COM CSP v.2.3.9.0  -  сам криптопровайдер
Signal-COM CSP SDK v.2.1.2 - набор апи функций, для работы с криптопровайдером.


а) Поддерживает COM интерфейсы:
1. Certificate Enrollment Control
2. CAPICOM
3. XMLDSig (есть пример)


б) CryptoAPI 2.0  -  для формирования и проверки цифровой подписи данных  (есть пример). Интерфейс описан в MSDN.

Поделиться