Что такое цифровая подпись, цифровые сертификаты и метки времени?

Для связывания открытых ключей с пользователем (владельцем закрытого ключа) инфраструктура открытых ключей (PKI) использует цифровые сертификаты. Цифровые сертификаты представляют собой учетные данные, облегчающие проверку личности при выполнении транзакций между пользователями. Аналогично тому, как паспорт удостоверяет личность гражданина страны, цифровой сертификат устанавливает личность пользователей в экосистеме. Поскольку цифровые сертификаты используются для идентификации пользователей, которым отправляются зашифрованные данные, или для проверки личности лиц, подписывающих информацию, защита подлинности и целостности сертификата является обязательным условием обеспечения надежности системы.

Центр сертификации (ЦС) является ключевым компонентом инфраструктуры открытых ключей (PKI), отвечающий за создание иерархической цепочки доверия. ЦС выдают цифровые учетные данные, используемые для подтверждения личности пользователей. ЦС являются краеугольным камнем безопасности PKI и поддерживаемых служб, поэтому они могут стать мишенью для изощренных целенаправленных атак. Для защиты центров сертификации от атак и обеспечения целостности PKI необходимы средства физического и логического контроля, а также дополнительные механизмы защиты, такие как аппаратные модули безопасности (HSM).

В криптографии открытых ключей подписание кода представляет собой специальное использование цифровых подписей на основе сертификатов, которое позволяет организации проверять личность издателя программного обеспечения и отсутствие изменений в программном обеспечении с момента его выхода.

Цифровые подписи предоставляют издателям программного обеспечения и внутренним командам разработчиков надежную криптографическую процедуру для защиты конечных пользователей от угроз кибербезопасности, включая развитые устойчивые угрозы (APT), например Duqu 2.0. Цифровые подписи гарантируют целостность и подлинность программного обеспечения. Цифровые подписи дают конечным пользователям возможность проверить подлинность издателя и убедиться в том, что установочный пакет не был изменен с момента его подписания. Все современные операционные системы находят и проверяют цифровые подписи во время установки, а предупреждения о неподписанном коде могут заставить конечных пользователей отказаться от установки.

Что такое метка времени?

Все чаще в дополнение к цифровым подписям используют метки времени, которые позволяют организациям регистрировать время подписания цифрового элемента, будь то сообщение, документ, транзакция или программное обеспечение. В некоторых случаях время выставления цифровой подписи имеет решающее значение, как, например, в случае сделок с ценными бумагами, выпуска лотерейных билетов и некоторых судебных разбирательств. Даже в тех случаях, когда время не является ключевым параметром в приложении, метки времени используются для учета и аудита, поскольку они позволяют определить, был ли цифровой сертификат действительным на момент его использования. Поскольку решения для цифровой подписи становятся все более актуальными, появился соответствующий спрос на метки времени. Поэтому многие программы, например Microsoft Office, поддерживают возможность проставления меток времени.

Важность безопасности

И если метки времени действительно столь полезны, они должны быть надежными.

Риски, связанные с ненадежными метками времени

• В отсутствие доверия к электронным процессам может возникнуть необходимость обеспечивать дорогостоящий бумажный след для резервного копирования электронных записей.
• Если злоумышленник сможет вмешаться в работу компьютерных часов, то легко скомпрометирует процесс проставления меток времени в программном обеспечении. В результате весь процесс проставления подписей будет недействительным.
• Незащищенные процессы проставления меток времени или цифровых подписей могут стать причиной несоблюдения организацией требований и потенциальных проблем с законом.
• Даже после отзыва закрытых ключей подписи и сертификатов пользователи могут иметь к ним доступ. Без установки метки времени организации не могут доказать, были ли подписи созданы до или после отзыва сертификата.

Подробнее об установке меток времени на сертификатах подписи кода.