Миф №71 «сертификату, выпущенному удостоверяющим центром, можно доверять»

В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности

Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems

Сейчас, в эпоху Интернет, когда миллионы людей общаются, не видя друг друга, как никогда остро встает вопрос проверки подлинности удаленного собеседника; будь то бизнес-партнер, коллега или просто друг. Одной из распространенных рекомендаций является использование сертификатов открытых ключей, выдаваемых различными удостоверяющими центрами (УЦ).

Такие центры по сути своей выступают в роли Интернет-адвокатов, которые удостоверяют одних пользователей сети Интернет перед другими.

Но кто дал право УЦ выдавать сертификаты? На каком основании? А главное, почему я должен им доверять?

Посмотрите, сейчас только ленивый не выпускает сертификаты – в едином государственном реестре сертификатов (http://www.reestr-pki.ru/) несколько десятков отечественных УЦ. Зарубежных и того больше. Но самое главное, что получить такой сертификат может любой пользователь сети.

И даже если УЦ имеет право выдавать сертификаты, где гарантия, что пользователи, их получившие, не жулики, скрывающиеся под маской добропорядочного гражданина Сети? Я, например, имею сертификат Thawte (http://www.thawte.com/) и получил я его очень просто.

Зашел на сайт и получил, введя идентифицирующие себя данные. Но проверял ли Thawte мои данные? Это врядли. А, следовательно, я могу выдать себя за кого угодно. Хоть за президента Путина.

УЦ не несет никакой ответственности за содержимое сертификата. В России для получения сертификата необходимо представить удостоверение личности, но и то не всегда.

Ситуация усугубляется тем фактом, что некоторые УЦ принимают документы на оформление сертификата по обычной почте – достаточно зарегистрировать сертификат на украденные реквизиты паспорта.

Значение слова \


Не случайно на сайте компании Сигнал-КОМ, предоставляющей услуги УЦ (http://www.e-notary.ru/), прямо написано: «подписчики и пользователи сертификатов могут не доверять друг другу, но они обязаны доверять УЦ – именно на таком доверии построен механизм аутентификации открытых ключей». В области информационной безопасности тема доверия достаточно сложная и спорная; особенно, что касается удаленного взаимодействия людей, не знающих друг друга.

Что же касается сертификатов, то надо четко понимать, что сертификатам удостоверяющих центров доверять надо только с определенной долей вероятности, потому что вы не знаете о том, от кого действительно или кому действительно принадлежит тот или иной сертификат. Если в нем написано, что сертификат выдан Иванову Ивану Ивановичу, то на самом деле это может быть совершенно не так.

Гражданин Иванов и не слыхивал о том, что кто-то получил сертификат на его имя. Или он кому-то доверил выдачу этого сертификата, или получение этого сертификата.

И кто-то от лица Ивана Ивановича будет пользоваться его сертификатом, его ключом ЭЦП, подписывать электронные документы от его имени. Ну, в обычной деловой практике, наверное, это возможно (например, факсимиле подписи), но достаточно одного случая, чтобы кто-то со злым умыслом воспользовался этим сертификатом от имени Ивана Ивановича и дальше начинаются проблемы.

Он, т.е. Иван Иванович, начинает говорить, о том, что он никому прав не давал и т.д., и в итоге проигрываете вы, если вы совершили какую-то сделку с этим мнимым Иваном Ивановичем.

Разумеется, в том случае, если при заключении договора с удостоверяющим центром в нем четко прописано, что любые документы, подписанные или утвержденные данным сертификатом, являются подлинными (по аналогии с договором на Интернет-банкинг или на договор обслуживания банковской карты), в данном случае, конечно, Ивану Ивановичу не отвертеться. Но если этого нет, то проигравшим будете вы.

Поэтому при внедрении инфраструктуры открытых ключей или, что более важно, при начале использования или подключения к ней, к какой-то уже созданной инфраструктуре открытых ключей, необходимо четко проанализировать все вопросы, связанные с подлинностью и доверием. Как удостоверяющий центр проверяет подлинность тех абонентов, от имени которых он получает открытые ключи и для которых он подписывает сертификаты?

Как происходит отзыв компрометированных сертификатов? Какова процедура разбора конфликтов? Если эта процедура невнятно написана или она попросту отсутствует, и удостоверяющий центр выдает сертификаты абсолютно всем без разбора, то я бы к такой системе не подключался.

Потому что практического толка от нее не будет. Просто небольшое баловство.

Высокотехнологичное, интересное, забавное, — да, но для бизнеса никакой пользы оно не несет.

Наиболее подходящая Вам статья…

Понравилась статья? Поделиться с друзьями: