Распределение сертификатов

Распределение сертификатов, Как УЦ может передать секретный ключ пользователя

Dream Weaver

Guest

Это нравится:0 Да/0 Нет

08.01.2007 23:08:50

Есть удостоверяющий центр. Он выдает сертификат, то есть он генерит секретный ключ для пользователя, открытый ключ для пользователя, подписывает открытый ключ пользователя и подписывает его. Остается вопрос - как удостоверяющий центр передает сгенерированный секретный ключ конечному пользователю? Неужели это можно сделать только при личной встречи? А есть ли способ все делать удаленно? Я хочу сделать что-то вроде простого удостоверяющего центра. Есть сервер. Он должен сгенерировать сертификат и как-то передать осекретный ключ приложению пользователя. Как это обычно делается?

ClosedGL

Guest

Это нравится:0 Да/0 Нет

09.01.2007 01:01:25

Во-первых не стоило создавать сразу три одинаковых топика.

А если по сути вопроса - то у Вас неверное представление о схеме работы УЦ.

Если речь идёт о системе x509, то тогда всё происходит след. образом:

Ключи генерирует сам пользователь. Далее он создаёт так называемый CSR (certificate signing request), который представляет из себя X509 directory name (asn1dn), подписанный публичным ключём.
И вот этот самый CSR и подписывается удостоверяющим центром, в результате чего появляется сертификат, который и отдаётся в последствии клиенту.

Удачи.

Владимир

Guest

Это нравится:0 Да/0 Нет

11.01.2007 13:31:06

насколько я понимаю, есть как раз два варианта создания пары: на РМ пользователя и на РМ УЦ. В первом случае возникает проблема как надежно передать в УЦ, во втором, как надежно получить с УЦ.
А по поводу: "Остается вопрос - как удостоверяющий центр передает сгенерированный секретный ключ конечному пользователю?" - ответь сам себе, если с помощью этого ключа можно получить доступ к твоей зарплате, то какой способ доставки тебя бы успокоил на 100 процентов?

Это при условии первого получения ключа, конечно.

ClosedGL

Guest

Это нравится:0 Да/0 Нет

11.01.2007 16:17:00

Цитата
какой способ доставки тебя бы успокоил на 100 процентов?

На 100% можно быть спокойным только в гробу

Предложенная Вами схема мне не нравится не из-за доставки, а из-за того что не я один буду владеть моим секретным ключём. К тому же это как минимум накладывает дополнительную ответсвенность на УЦ.

А при доставке возникает как минимум несколько вопросов

- Является ли отправитель именно тем, за которого себя выдаёт ?
- Является ли получатель именно тем, за кого себя выдаёт ?
- Дошла ли 'посылка' до адресата ?
- Не подверглись ли данные изменению в процессе доставки ?
- Не были ли данные перехвачены 3-й стороной ?

Если последние два вопроса ещё можно решить, То вот с первыми дело обстоит туговато.
Поэтому я бы выбрал личную встречу:

"СдАл.. принЯл... пОдпись.. прОтокол...." (С) Папанов.

Удачи.

Pili

Guest

Это нравится:0 Да/0 Нет

11.01.2007 17:43:20

Первые 3 вопроса тоже можно решить. Распреденная схеме обслуживания клиентов УЦ достаточно распространена, например
http://www.cryptopro.ru/cryptopro/services/ca-service.htm
https, пароли и временные сертификаты ещё никто не отменял

А по поводу: "Остается вопрос - как удостоверяющий центр передает сгенерированный секретный ключ конечному пользователю?" - например используя https по взаимной аутентификации сервер-клиент (сертификат сервера и временный сертификат пользователя)

offtopic

Editor

Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003

Это нравится:0 Да/0 Нет

11.01.2007 18:12:29

Цитата
ClosedGL пишет: Предложенная Вами схема мне не нравится

Есть такой вариант - называется депонирование ключей.
При этом закрытый ключ сохраняется в УЦ на случай утери (резервное копирование ключей).
В этом случае, если ключи генерируются на клиенте, то оба из них передаются серверу.
Если на ключи генерируются на сервере -то оба они передаются клиенту.
Вопрос как - если по сети - то SSL с односторонней аутентификацией. Если так - то при личной встрече "на дискете"

ClosedGL

Guest

Это нравится:0 Да/0 Нет

11.01.2007 19:00:51

offtopic писал:

Цитата
Есть такой вариант - называется депонирование ключей.

Существование всевозможных вариантов передачи/хранения ключей никто не отрицает. Весь вопрос в том что каждый для себя видит приемлимым в определённых ситуациях.

Pili писал

Цитата
Первые 3 вопроса тоже можно решить. Распреденная схеме обслуживания клиентов УЦ достаточно распространена, например

Естественно, проведя некий предварительный набор мероприятий и снабдив своих работников/клиентов всем необходимым (ключи цифровой подписи и тп) первые три шага (а также многие последующие задачи, связанные с идентификацией личности) тоже беспроблемно можно решать. Но суть то изначального вопроса в том (если я её сам правильно понял

) как всё сделать с нуля.

Если речь идёт о строгой идентификации личности, всёравно на этапе вышеупомянутой предвариловки без личного контакта не обойтись. В Вешей же ссылке цитата:

Цитата

При использовании централизованной схемы обслуживания в Удостоверяющем центре регистрация и изготовление сертификатов ключей подписей осуществляется при личном прибытии пользователя (либо его уполномоченного представителя, действующего на основании соответствующей доверенности) в Удостоверяющий центр. Генерация ключей подписей осуществляется в Удостоверяющем центре на предоставляемый пользователем ключевой носитель.

Удачи.

Pili

Guest

Это нравится:0 Да/0 Нет

12.01.2007 08:16:03

Предварительные мероприятия (напр. заключение договора, представление клиентом актов о готовности рабочих мест, наличие приказа об отв. лицах, письменное заявление) потребуются и в централизованной схеме обслуживания, в такой схеме можно обойтись без временных сертификатов. С нуля (без оформления документов) можно строить корпоративную схему обслуживаня (для своих пользователей), это чаще централизованная схема (когда свои пользователия рядом), но если имеются филиалы, например по городам, лучше перейти на распределенную схему.
Депонироваие ключей почти никто из УЦ не применяет, это лишняя ответственность, к тому же депонирование не регламентировано законодательно.

Владимир

Guest

Это нравится:0 Да/0 Нет

12.01.2007 12:19:28

Цитата
ClosedGL пишет: Поэтому я бы выбрал личную встречу:

однозначно :!:

Цитата
Pili пишет: например используя https по взаимной аутентификации сервер-клиент (сертификат сервера и временный сертификат пользователя)

А сертификат сервера у нас (у пользователя) откуда взялся? А как сервер убедился, что временный сертификат он именно наш использует, а не человека-по-середине?

Pili Guest	#10 Это нравится:0 Да/0 Нет 12.01.2007 15:07:19 Владимир, почитайте внимательно схему http://www.cryptopro.ru/cryptopro/services/ca-service.htm и регламент распределенной схемы обслуживания http://cpca.cryptopro.ru/reglament/reglamentdist.rtf Там все хорошо описано.

Владимир

Guest

#11

Это нравится:0 Да/0 Нет

12.01.2007 17:32:51

к сожалению я плохо сформулировал свое утверждение. Посредством почтовой (заказной)или курьерской (фельдегерской) связи можно исключить физическое появление пользователя в Центре. Другими словами - можно заменить с той или иной степенью надежности передачу из рук в руки на передачу по почте. Я же имел в виду невозможность общаться полностью виртуально. И это уже не зависит от регламентов и схем.

VSL Guest	#12 Это нравится:0 Да/0 Нет 29.01.2007 10:54:38 ClosedGL все верно написал. Когда вы генерируете сертификат, его закрытый ключ не покидает хранилища сертификатов вашего компьютера, просто данные вашего сертификата подписываются УЦ. Правда УЦ нужно выбирать посолиднее.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?