Оффлайн
- Регистрация
- 12.05.16
- Сообщения
- 1.927
- Реакции
- 523
- Репутация
- 0
Вернемся к Бобу и нашему файлу, который мы пытаемся ему отправить. Как я уже сказал, чтобы обменяться или согласовать ключи с Бобом защищенным образом, нам нужно аутентифицировать, что Боб - это реальный Боб, тогда мы сможем обменяться этими ключами, потому что если между нами посередине сидит человек, он может отправить нам поддельный открытый ключ, выдавая себя за Боба. Вот почему мы говорили о хешах и цифровых подписях, потому что они используются внутри цифровых сертификатов в качестве метода для аутентификации.
Также и с посещением HTTPS веб-сайтов. У них есть открытый ключ, который вы используете для обмена сеансовыми ключами с целью начать шифрование, но вам нужно аутентифицировать, чтобы убедиться, что их открытый ключ легитимный. Одно из решений, или решение, которое используется в Интернете, это использование цифровых сертификатов, подписанных цифровой подписью в составе цепочки сертификатов. Итак, X.509 - это наиболее часто используемый стандарт для защиты цифровых сертификатов, и эти сертификаты представляют собой цифровые документы, содержащие информацию о владельце сертификата или, например, о веб-сайте или компании, владеющей веб-сайтом, в данном случае это Mozilla.
Открытый ключ и цифровая подпись, которая доказывает, что открытый ключ и сертификат заверены авторизованным удостоверяющим центром. Все это может звучать немного сложно, давайте пробежимся по этому вопросу.
Теперь, если мы спустимся еще ниже, то увидим алгоритм цифровой подписи. Это SHA-256 с шифрованием RSA. Помните, что цифровая подпись - это значение хешфункции, которое было зашифровано, речь о закрытом ключе.
Этот сертификат был подписан DigiCert. И если я нажму сюда, то мы увидим их сертификат. Это подводит нас к вопросу о цепочке сертификатов, потому что открытый ключ RSA для этого сертификата должен быть использован, чтобы дешифровать подпись из этого первого сертификата, чтобы получить хеш SHA-256, который должен подойти к хешу SHA-256, вычисленному для остальной части сертификата, так чтобы вы знали, что этот сертификат доподлинно выпущен DigiCert.
И такой же процесс происходит для валидации, что этот сертификат является действующим. А если мы поднимемся на верхний из сертификатов в цепочке, который является корневым сертификатом, как нам узнать, что этот сертификат действующий, и что мы можем ему доверять?
Что ж, ваша операционная система и ваш браузер содержат целый список корневых сертификатов, которые были выпущены удостоверяющими центрами. Не вы им доверяете, а Microsoft или какая-либо другая сторона, которая поставила вам эти корневые сертификаты, именно эта сторона выражает доверие к этим сертификатам.
Если вы желаете посмотреть сертификаты в Firefox, идем сюда, "Настройки", расширенные, сертификаты, посмотреть сертификаты. И если вы нажмете на "Центры сертификации", то увидите список, и это все корневые центры сертификации, которым вы доверяете. Их здесь сотни.
Давайте нажмем на один из них. Итак. Цифровой сертификат удостоверяющего центра Comodo. Выглядит похожим на сертификат Mozilla. Разница в том, что этот сертификат является самоподписанным. Что дает им право быть удостоверяющим центром? Ну, есть множество организаций, которые могут им стать и становятся. Им необходимо соответствовать различным требованиям безопасности, что влечет за собой нехилые затраты(даже на содержание сотрудников-безопасников). Но на самом деле там всё намного сложнее и дороже, чем это можно себе представить.
Также и с посещением HTTPS веб-сайтов. У них есть открытый ключ, который вы используете для обмена сеансовыми ключами с целью начать шифрование, но вам нужно аутентифицировать, чтобы убедиться, что их открытый ключ легитимный. Одно из решений, или решение, которое используется в Интернете, это использование цифровых сертификатов, подписанных цифровой подписью в составе цепочки сертификатов. Итак, X.509 - это наиболее часто используемый стандарт для защиты цифровых сертификатов, и эти сертификаты представляют собой цифровые документы, содержащие информацию о владельце сертификата или, например, о веб-сайте или компании, владеющей веб-сайтом, в данном случае это Mozilla.
Открытый ключ и цифровая подпись, которая доказывает, что открытый ключ и сертификат заверены авторизованным удостоверяющим центром. Все это может звучать немного сложно, давайте пробежимся по этому вопросу.
You must be registered for see images attach
You must be registered for see images attach
Теперь, если мы спустимся еще ниже, то увидим алгоритм цифровой подписи. Это SHA-256 с шифрованием RSA. Помните, что цифровая подпись - это значение хешфункции, которое было зашифровано, речь о закрытом ключе.
You must be registered for see images attach
Этот сертификат был подписан DigiCert. И если я нажму сюда, то мы увидим их сертификат. Это подводит нас к вопросу о цепочке сертификатов, потому что открытый ключ RSA для этого сертификата должен быть использован, чтобы дешифровать подпись из этого первого сертификата, чтобы получить хеш SHA-256, который должен подойти к хешу SHA-256, вычисленному для остальной части сертификата, так чтобы вы знали, что этот сертификат доподлинно выпущен DigiCert.
И такой же процесс происходит для валидации, что этот сертификат является действующим. А если мы поднимемся на верхний из сертификатов в цепочке, который является корневым сертификатом, как нам узнать, что этот сертификат действующий, и что мы можем ему доверять?
Что ж, ваша операционная система и ваш браузер содержат целый список корневых сертификатов, которые были выпущены удостоверяющими центрами. Не вы им доверяете, а Microsoft или какая-либо другая сторона, которая поставила вам эти корневые сертификаты, именно эта сторона выражает доверие к этим сертификатам.
You must be registered for see images attach
Если вы желаете посмотреть сертификаты в Firefox, идем сюда, "Настройки", расширенные, сертификаты, посмотреть сертификаты. И если вы нажмете на "Центры сертификации", то увидите список, и это все корневые центры сертификации, которым вы доверяете. Их здесь сотни.
You must be registered for see images attach
Давайте нажмем на один из них. Итак. Цифровой сертификат удостоверяющего центра Comodo. Выглядит похожим на сертификат Mozilla. Разница в том, что этот сертификат является самоподписанным. Что дает им право быть удостоверяющим центром? Ну, есть множество организаций, которые могут им стать и становятся. Им необходимо соответствовать различным требованиям безопасности, что влечет за собой нехилые затраты(даже на содержание сотрудников-безопасников). Но на самом деле там всё намного сложнее и дороже, чем это можно себе представить.
You must be registered for see images attach
Последнее редактирование модератором: