Открытый и закрытый ключи

При помощи алгоритма генерации ключа на основе абсолютно случайных чисел вычисляется закрытый ключ длиной 256 бит. Открытый ключ, длиной 1024 бита, вычисляется из закрытого ключа ЭЦП, таким образом, чтобы получить второй из первого было невозможно. Закрытый ключ предназначен для создания Электронной цифровой подписи. Работает закрытый ключ только в паре с открытым ключом.

Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. То есть мы сталкиваемся с проблемой отделимости подписи от владельца. Подпись от руки по понятным причинам неотделима от ее обладателя. Совсем по-другому обстоят дела при использовании электронно-цифровой подписи, точнее ее "секретного ключа". Последний, как правило, представляет собой определенный файл, который хранится в компьютере подписанта и, естественно, вполне отделим от него. Доступ к нему осуществляется на основе пароля, или устройства-идентификатора. Такой подход нельзя считать надежным и удобным, особенно при массовом использовании. Владелец может забыть свой пароль или передать другому лицу устройство-идентификатор. И, конечно, существует вероятность, что новый владелец воспользуется этим для подписи фиктивного документа. Поэтому, контроль за правомерным использованием "секретного ключа" является достаточно проблематичной задачей, особенно с доказательной точки зрения. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. Пользователь может хранить закрытый ключ на своем персональном компьютере, защитив его с помощью пароля. Однако такой способ хранения имеет ряд недостатков. Пользователь может забыть пароль, либо пароль может быть взломан злоумышленником и пользователь может подписывать документы только на этом компьютере.

В настоящее время существуют следующие устройства хранения закрытого ключа:

- Дискеты

- Смарт-карты

- USB-брелоки

- Таблетки Touch-Memory

Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван. Наиболее защищенный способ хранения закрытого ключа - запись на смарт-карту. Для того, чтобы использовать смарт-карту, пользователю необходимо ввести PIN-код, то есть, провести двухфакторную аутентификацию. После этого, хэш подписываемого сообщения передается карте, чей процессор осуществляет подписывание хэша и передает подпись обратно. В процессе формирования подписи копирования закрытого ключа не происходит, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» ответственность за хранение закрытого ключа владелец несет сам.

Существует несколько методов, позволяющих с очень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту. Примером может служить технология цифровой обработки биометрических параметров: например, узора отпечатка пальца, радужной оболочки глаза. Только в этом случае можно говорить, что электронно-цифровая подпись стала аналогом автографа.

Проблема отделимости электронно-цифровой подписи от подписанта или проблема сохранности "закрытого ключа" может быть решена путем жесткой привязки процесса формирования и использования "закрытого ключа" к какому-либо биометрическому параметру. Такая привязка должна обеспечить гарантированную защиту "закрытого ключа" от несанкционированного доступа и включение образа биометрического параметра в состав электронного документа. Решение этой проблемы электронно-цифровой подписи играет важную роль для юридической поддержки обеспечения электронного документооборота.

Открытый ключ используется для проверки ЭЦП получаемых документов. Открытый ключ работает только в паре с закрытым ключом. Необходимо обеспечить доступ любого пользователя к подлинному открытому ключу любого другого пользователя, защитить эти ключи от подмены злоумышленником, предусмотреть механизм проверки того, что этот ключ принадлежит именно своему владельцу, а также организовать отзыв ключа в случае его компрометации. Задача защиты ключей от подмены решается с помощью сертификатов. Сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица.

Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями. Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.