Средства защиты электронных сообщений с помощью цифровой подписи

Все современные информационные технологии, связанные с обменом электронных документов в своей основе содержат “кирпичик”, который получил название цифровая подпись. К системам, использующим такие технологии, относятся автоматизированные банковские системы типа “Клиент – Банк”, системы для обеспечения электронных платежей в Интернет, платёжные системы на основе smart – карт, другие коммерческие и секретные системы связи.

Любая подпись, как обычная, так и цифровая, выполняет три основные функции:

- удостоверение того, что подписавшийся является тем, за которого мы его принимаем (функция авторизации);

- то, что подписавшийся не может отказаться от документа, который он подписал;

- подтверждение того, что отправитель подписал именно тот документ, который отправил, а не какой-либо иной.

Аутентификациясообщений – это установление приёмником и, возможно, арбитром того факта, что при существующем протоколе (правилах) аутентификации данное сообщение послано санкционированным (законным) передатчиком и что оно при этом не заменено и не искажено. Большинство методов аутентификации электронных сообщений базируются на тех или иных криптографических алгоритмах (преимущественно с открытыми ключами). К ним относятся системы RSA и E Gamal (госстандарт на цифровую подпись в США и в России - ГОСТ 34.10).

В таких системах у каждого участника (абонента) есть два разных, но связанных математически друг с другом ключа: один – совершенно секретный, а второй открытый и доступный всем абонентам. Система устроена так, что сообщение, зашифрованное с помощью открытого ключа, может быть открыто только с помощью секретного ключа и наоборот. Таким образом, ключи являются взаимно обратными друг к другу. Обычно эти ключи для удобства обозначают буквами E и D. Каждый абонент системы имеет свою пару ключей (E и D). Эти ключи он создает сам и, поэтому секретный ключ действительно принадлежит только ему (при этом он должен хранить его в соответствии с требованиями, предъявляемыми к сохранности секретных документов). Свои ключи E все абоненты хранят в секрете, а ключи D делаются доступными для пользователей системы.

Принцип работы цифровой подписи на основе системы с открытыми ключами:

-Если абонент A должен подписать какое-либо сообщение, он с помощью специальной хеш-функции создаёт дайджест (слепок) этого сообщения и зашифровывает его своим секретным ключом E. Свойства хеш-функции таковы, что полученный с помощью её дайджест “жестко” связан с сообщением. Зашифрованный дайджест “прикрепляется” к сообщению и становится цифровой подписью сообщения.

-После этого любой пользователь системы, получив подписанное сообщение, может проверить подпись абонента A. Для этого ему необходимо создать свой вариант дайджеста полученного сообщения, расшифровать прикреплённый дайджест к сообщению с помощью открытого ключа D пользователя A, и сравнить свой вариант дайджеста с расшифрованным дайджестом. Если они совпадают, подпись считается верной. В противном случае сообщение отвергается. Поскольку секретный ключ известен только пользователю A, то ясно, что подписать сообщение мог только он.

Сертификация открытых ключей

При использовании цифровой подписи на основе систем с открытыми ключами существует опасность, заключающаяся в том, что открытый ключ какого либо пользователя X может быть подменён злоумышленником. В этом случае подменивший ключ может выдать себя за пользователя X.

Такая проблема решается с помощью сертификации (освидетельствования) открытых ключей санкционированных пользователей системы. Для этого открытые ключи пользователей заверяются цифровой подписью центра сертификации – специальной организацией создаваемой группой пользователей системы.

Центр сертификации создает сертификаты открытых ключей пользователей, в которые включаются, собственно открытый ключ и идентификатор пользователя, серийный номер сертификата, даты начала и окончания действия сертификата, данные об организации, выдавшей сертификат и другая информация. Все эти данные подписываются с помощью секретного ключа центра сертификации. Открытый ключ центра сертификации делается доступным для всех пользователей системы.