Центр сертификации

В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов и отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Потребность в центре сертификации

Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.

Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.

Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.

Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».

На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты также технически являются самозаверенными.

Основные сведения

Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

• серийный номер сертификата;
• объектный идентификатор алгоритма электронной подписи;
• имя удостоверяющего центра;
• срок действия сертификата;
• имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
• открытые ключи владельца сертификата (ключей может быть несколько);
• объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
• электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.

Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.

Центр сертификации ключей имеет право:

• предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
• обслуживать сертификаты открытых ключей
• получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.

Удостоверяющие центры в России

Для осуществления работы удостоверяющие центры, согласно закону N 63-ФЗ от 6 апреля 2011 года,^[1], должны быть аккредитованы.^[2] Указанный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. В связи с интенсивным развитием цифровизации государственных услуг в 2021 году регламент работы удостоверяющих центров существенно изменен.

Манипуляции с электронными подписями в центрах сертификации РФ

• В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей^[3]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи^[4], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформлении документов без участия гражданина^[5]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков^[6], причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры^[7]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами^[8], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова^[9]. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента^[10]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную^[11], однако, доверие к российским УЦ было безвозвратно потеряно^[12].
• Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации^[13]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами^[14]. Недопустим выпуск сертификата электронной подписи по рукописной доверенности^[15].

См. также

• Рутокен
• VeriSign
• Let's Encrypt
• GlobalSign^[англ.]
• Certificate Revocation List

Примечания

1. ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года)  (рус.). https://docs.cntd.ru/. docs.cntd.ru (24 февраля 2021). Дата обращения: 22 мая 2021. Архивировано 22 мая 2021 года.
2. Аккредитация удостоверяющих центров  (рус.). digital.gov.ru. digital.gov.ru (22 мая 2021). Дата обращения: 22 мая 2021.
3. «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» Архивная копия от 16 марта 2018 на Wayback Machine 2008—2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017
4. «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» Архивная копия от 13 марта 2018 на Wayback Machine МИА «Россия сегодня» от 27.06.2017.
5. «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» Архивная копия от 13 марта 2018 на Wayback Machine «Счетная палата Российской Федерации», 27 июня 2017
6. «Простая электронная подпись не защитит накопления» Архивная копия от 14 марта 2018 на Wayback Machine gazeta.ru от 31.07.2017,
7. «ПФР будет работать по-новому после критики Счетной палаты» Архивная копия от 14 марта 2018 на Wayback Machine «Ведомости» от 28 июня 2017
8. «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» Архивная копия от 7 ноября 2017 на Wayback Machine «РБК» от 27 июня 2017
9. «Выявлены массовые фальсификации при переводе пенсионных накоплений» Архивная копия от 16 марта 2018 на Wayback Machine «Ведомости» от 27 июня 2017
10. «Электронная подпись вышла из доверия» Архивная копия от 9 ноября 2017 на Wayback Machine «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».
11. «Минтруд решил осложнить перевод пенсионных накоплений» Архивная копия от 14 марта 2018 на Wayback Machine «Ведомости» от 16 января 2017
12. «НПФ решили проблему перехода» Архивная копия от 14 марта 2018 на Wayback Machine Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.
13. «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» Архивная копия от 17 марта 2018 на Wayback Machine «Гарант» от 7 декабря 2017
14. «Оформление электронной подписи без личного присутствия нарушает закон» Архивная копия от 16 марта 2018 на Wayback Machine «Электронный экспресс», 2018.
15. «Риски выпуска сертификата электронной подписи по рукописной доверенности» Архивная копия от 19 марта 2018 на Wayback Machine Компания «Гарант» от 19 января 2018.

Ссылки

• Перечень центров сертификации по странам (недоступная ссылка)
• Удостоверяющие центры в каталоге ссылок Curlie (dmoz)
• Список корневых сертификатов, включенных в Firefox
• Обзор Удостоверяющих Центров
• https://habr.com/ru/post/666520/ , https://archive.today/20220519152327/https://habr.com/ru/post/666520/ , https://itnan.ru/post.php?c=1&p=666520