» Hardware » Software » Windows » Internet » Humor » Other

Цифровые удостоверения

Argon On-Line » Windows » Windows XP
 

Часть 1

Получая электронную почту не всегда можно быть уверенным, что полученное Вами сообщение пришло действительно от того, чье имя стоит в адресе отправителя, поскольку существуют программы, способные изменять все заголовки сообщений. Точно так же распространяются и многие почтовые вирусы, подставляя адреса электронной почты, найденные на зараженном компьютере в заголовок отправителя. А пользователь, получая письмо с вложением от отправителя, которому он доверяет, не задумываясь открывает это вложение. Так как же удостовериться в подлинности отправителя? Безусловно, если Вы давно ведете переписку с отправителем, Вы можете заметить разницу в сообщениях по параметрам письма, например если вдруг Вам пришло письмо от соседа, отправленное из Австралии :) Но для этого нужно иногда заглядывать в эти параметры, знать что они обозначают, да и не всегда можно отследить отправителя, если письмо отправлено через цепочку серверов. Поэтому для важных личных контактов лучше использовать цифровые удостоверения (сертификаты), которые позволяют быть уверенным что письмо подлинное, содержание не изменялось, а кроме того обмениваться шифрованными сообщениями — если такое сообщение и попадет не по адресу, оно не сможет быть прочитано.

Цифровое удостоверение — это некий электронный паспорт пользователя. Цифровые удостоверения выдаются центрами Сертификации, имеют срок действия, в некоторых случаях удостоверяются нотариально, имеют различные назначения. Часто за выдачу и обслуживание цифрового удостоверения взимается некоторая плата. Цифровое удостоверение содержит закрытый ключ, который хранится на компьютере отправителя и используется для подписи сообщений и чтения зашифрованных сообщений, и открытый ключ, который отправляется с подписанными сообщениями. Получатель сохраняет открытый ключ и использует его для отправки зашифрованных сообщений отправителю. Этот метод шифрования известен как ассиметричный метод (в противоположность симметричному методу, при котором используются одинаковые ключи как для шифрования так и для дешифрования). Открытые и закрытые ключи могут быть импортированы, экспортированы, удалены с компьютера и перенесены на другой компьютер.

Тема цифровых удостоверений довольно обширна, не ограничивается защитой электронной почты и имеет довольно много аспектов, поэтому в этом выпуске мы рассмотрим получение бесплатных сертификатов (а большинство центров сертификации все же берут небольшую плату за услуги) от VeriSign, Inc. (бесплатное цифровое удостоверение на 2 месяца), и подписывание и шифрование сообщений в программе Outlook Express, а в одном из следующих выпусков можно будет рассмотреть (если эта тема Вас заинтересует) получение ключей от Thawte Certification (бесплатные цифровые удостоверения различного назначения сроком на 1 год с возможностью продления), импорт и экспорт открытых и закрытых ключей, работу с другими почтовыми клиентами, администрирование ключей и другие параметры цифровых удостоверений.

Получение цифрового сертификата

Начнем с VeriSign, Inc. как с более простой и быстрой регистрации. Если используете файрволл, отключите блокирование активных элементов или на время отключите защиту.

На открывшейся странице жмем на ссылку внизу страницы — Click Here for 60-day free trial Вся регистрация состоит из 4-х шагов. На открывшейся странице вводим следующие данные:

  • Name in Digital ID: сюда вводим любое имя, например Nickname
  • Your E-mail Address: адрес почты, на который получаем сертификат
  • Challenge Phrase: сюда вводим секретную фразу (не забудьте ее, это что-то вроде пароля для дальнейшего доступа), например certification

Следующие поля можно оставить как есть, но сама компания рекомендует установить флаг для дополнительной безопасности Вашего закрытого ключа в поле Check this Box to Protect Your Private Key.

Теперь жмем на кнопку «Accept» внизу страницы. Появится сообщение с советом проверить правильность e-mail, на который будет выслано подтверждение регистрации. Жмем «OK». Если появляется сообщение «Потенциальная ошибка сценария — …Запросить сертификат?» отвечаем «Да». Далее появится окно с запросом «Приложение создает защищенный элемент Закрытый ключ CryptoA…» Жмем «OK».

Если все введенные поля корректны, откроется страница Step 2 of 4: Check E-mail — нас уведомляют что нужно проверить почту (тот адрес, который указали на первой странице). На этом страницу можно закрыть. В полученном письме жмем на ссылку «Continue».

Открывается страница Step 4 of 4: Install Digital ID на которой отображены регистрационные данные которые будут включены в сертификат. Жмем на кнопку Install. Если появится окно «Потенциальная ошибка сценария — Данный узел добавляет один или несколько сертификатов на этот компьютер… Разрешить этой программе добавлять сертификаты?…» Жмем «Да».

Все — цифровое удостоверение получено и установлено на Вашем компьютере. Увидеть его Вы сможете в списке личных сертификатов на вкладке «Сервис > Параметры > Безопасность > Сертификаты > Личные» в программе Outlook Express а также на вкладке «Сервис >Свойства обозревателя > Содержание > Сертификаты» в Internet Explorer и других местах, которые рассмотрим чуть позже.

Простейшие методы работы с цифровыми сертификатами в Outlook Express

Откройте вкладку «Сервис > Учетные записи > Почта». Откройте учетную запись, для которой мы зарегистрировали цифровое удостоверение. Перейдите на вкладку «Безопасность» В поле «Сертификат подписи» выбираем полученный сертификат. То же самое проделываем для поля «Параметры шифрования». Теперь перейдем непосредственно к работе с сертификатами. Создайте новое сообщение. На панели инструментов нажмите кнопку «Подписать» После нажатия кнопки «Отправить» появится окно: «Приложение запрашивает доступ к защищенному элементу — Закрытый ключ CryptoA» Жмем «OK». Теперь получатель получил наше сообщение с вложенной цифровой подписью (открытым ключом), то есть он может быть уверен что сообщение действительно пришло от нас (просмотрев параметры сертификата). Сообщение будет отмечено красным значком сертификата. Чтобы получатель теперь мог отправлять нам зашифрованные сообщения, он должен добавить наш адрес (или обновить данные) в список контактов — в полученном сообщении необходимо выделить поле «От» и выбрать в контекстном меню «Добавить в адресную книгу» (Outlook Express делает это автоматически при настройках по умолчанию} — в свойствах контакта должен появиться наш открытый ключ сертификата на вкладке «Сертификаты». Теперь допустим что пользователь хочет отправить нам шифрованное сообщение — он создает сообщение и жмет кнопку «Зашифровать». Поскольку пользователь имеет только ключ для шифрования сообщения (открытый ключ), то после отправки сообщения он не сможет просмотреть свое сообщение в папке «Отправленные». Зашифрованное сообщение помечается синим значком замка. Когда мы получаем такое письмо, система запрашивает доступ к закрытому ключу для чтения сообщения. Если мы удалили закрытый ключ с компьютера, прочитать сообщение мы уже не сможем.

Краткий итог:

  • пользователь А получает цифровое удостоверение в доверенном независимом источнике (центре сертификации), включающий закрытый ключ, который хранится на компьютере пользователя А, и открытый ключ, который отправляется с подписанными сообщениями пользователю В.
  • открытый ключ используется пользователем В для идентификации пользователя А, программа Outlook Express запрашивает сведения о удостоверении пользователя А у соответствующего центра сертификации. Центр сертификации высылает необходимые данные и указывает, не было ли аннулировано данное удостоверение вследствие отмены удостоверения пользователем А или завершения срока действия.
  • открытый ключ используется пользователем В для отправки шифрованных сообщений пользователю А.
  • прочитать сообщение, зашифрованное открытым ключом может только пользователь А, воспользовавшись своим закрытым ключом. Если письмо попадет не по адресу, посторонний человек все равно не сможет прочитать собщение поскольку не имеет закрытого ключа.
  • если пользователь А утратил закрытый ключ, он не сможет прочитать адресованные ему сообщения, зашифрованные с помощью его открытого ключа.
  • подписывать сообщения может только пользователь А с помощью закрытого ключа.
  • чтобы пользователь А мог отправлять шифрованные сообщения пользователю В, он должен иметь его открытый ключ (то есть пользователь В тоже должен иметь цифровое удостоверение).

Часть 2

В прошлой раз я рассказал кратко о получении и использовании цифровых удостоверений для защиты электронной почты. Сегодня рассмотрим импорт и экспорт сертификатов. Место хранения системой сертификатов называется хранилищем сертификатов (certificate store). Личные хранилища сертификатов индивидуальны для каждого пользователя компьютера и хранятся в локальном профиле. В Windows XP для просмотра и управления сертификатами используется оснастка консоли MMC «Сертификаты». Чтобы открыть ее, наберите команду certmgr.msc из меню «Пуск > Выполнить». В левой части оснастки по умолчанию отображены логические хранилища сертификатов. Личные сертификаты (содержащие закрытый ключ) можно видеть в хранилище «Личные», а открытые ключи других пользователей, сохраненные на компьютере, в хранилище «Другие пользователи». Используя оснастку можно управлять всеми сертификатами, установленными для данного пользователя, удалять, перемещать в другое хранилище и экспортировать в файл для последующего импорта из этого файла.

В каких случаях применяется импорт и экспорт сертификатов?

  • Инсталляция сертификата, полученного вами от другого пользователя (импорт).
  • Восстановление сертификата, который хранился в виде резервной копии (импорт).
  • Создание резервной копии сертификата (экспорт).

Копирование сертификата или ключа для использования на другом компьютере или для использования с другой учетной записью (экспорт). Существует два основных типа экспортируемых и импортируемых файлов сертификатов: файлы обмена личной информацией, которые содержат и открытый и закрытый ключи, и файлы сертификатов, содержащие только открытый ключ.

Файлы обмена личной информацией (*.pfx) содержащие закрытый ключ создаются в целях резервирования удостоверений или переноса их с одного компьютера на другой (или из одной учетной записи в другую). Эти файлы могут быть защищены паролем и не должны передаваться посторонним лицам. Экспортировать цифровое удостоверение в файл личной информации можно с помощью Мастера экспорта сертификатов, выделив нужный сертификат и выбрав в контекстном меню пункт «Экспорт». Если Вы переносите цифровое удостоверение, можно отметить пункт «Удалить ключ после успешного экспорта». Для дополнительной защиты этих файлов можно задать пароль на доступ — он потребуется для импорта сертификата. Чтобы импортировать файл *.pfx (инсталлировать цифровое удостоверение), достаточно выбрать в контекстном меню файла обмена личной информацией «Установить pfx» — при этом откроется Мастер импорта сертификатов (из командной строки или в пакетных файлах для запуска мастера можно использовать команду rundll32.exe cryptext.dll,CryptExtAddPFX %1, где вместо %1 укажите путь и имя файла сертификата) При импорте файлов *.pfx сертификаты помещаются в логическое хранилище «Личные сертификаты». При импорте файла *.pfx имеется возможность пометить его как экспортируемый — тогда в дальнейшем сертификат можно будет перемещать и экспортировать вместе с закрытым ключом. Если этого не сделать, то можно будет экспортировать только открытый ключ сертификата или полностью удалить цифровое удостоверение — таким образом мы привязываем закрытый ключ к данному компьютеру (учетной записи) делая невозможным его перемещение.

Файлы сертификатов (*.cer, *.p7b) содержащие открытый ключ создаются для резервирования чужих сертификатов (открытых ключей) а также для передачи своих открытых ключей другим лицам. Процедура импорта и экспорта аналогична описанной выше. отличие лишь в том что открытые ключи можно экспортировать в нескольких форматах (подробности смотрите в справке) и для них не требуется указывать пароль. Для вызова «Мастера импорта сертификатов» из командной строки или в пакетных файлах используйте команды rundll32.exe cryptext.dll,CryptExtAddCER %1 для файлов *.cer и rundll32.exe cryptext.dll,CryptExtAddSPC %1 для файлов *.p7b, где вместо %1 укажите путь и имя файла сертификата.

Кроме оснастки «Сертификаты» возможность импорта и экспорта сертификатов предоставляют программы Outlook Express, Microsoft Outlook и Internet Explorer.

PS: Раз уж коснулись темы сертификатов, то, забегая вперед, отвечу на вопрос, который часто задают: «Как сохранить доступ к файлам, зашифрованным с помощью EFS при переустановке системы?» Один из способов заключается в резервировании сертификатов EFS. Дело в том, что когда Вы первый раз используете возможность шифрования EFS, система создает цифровое удостоверение, которое и использует для работы с зашифрованными файлами. По умолчанию (если иное не установлено администратором) такое удостоверение имеет имя пользователя и помещается в хранилище «Личные сертификаты». Отличить этот сертификат можно по полю «Назначение — файловая система EFS). И если Вам необходимо переустановить систему, сделайте резервную копию этого сертификата, экспортировав его в файл обмена личной информацией *.pfx совместно с закрытым ключом, а после переустановки системы установите его.

 
Еще
Оглавление раздела
Содержание / Новости

Карта сайта
О сайте
Ссылки

Форум
Обратная связь
Если ты нашел ошибку, хочешь что-то посоветовать либо поругать меня, не посчитай за труд написать об этом в следующем поле...







К началу страницы© 2002—2008 Argon