Подписи, сертификаты и метки

 

Что такое цифровой сертификат?

Для связывания открытого ключа с пользователем (владельцем закрытого ключа) инфраструктура открытых ключей (PKI) использует цифровые сертификаты. Цифровые сертификаты представляют собой учетные данные, облегчающие проверку личности при выполнении транзакций между пользователями. Аналогично тому, как паспорт удостоверяет личность гражданина страны, цифровой сертификат устанавливает личность пользователей в экосистеме. Поскольку цифровые сертификаты используются для идентификации пользователей, которым отправляются зашифрованные данные, или для проверки подписей, защита подлинности и целостности сертификата является обязательным условием обеспечения надежности системы.

 

Что такое центр сертификации?

Центр сертификации (СА) является ключевым компонентом инфраструктуры открытых ключей (PKI), отвечающей за создание иерархической цепочки доверия. СА выдают цифровые учетные данные, используемые для удостоверения личности пользователей. СА являются краеугольным камнем безопасности PKI и поддерживаемых служб, поэтому они могут стать целью изощренных целенаправленных атак. Для защиты центров сертификации от атак и обеспечения целостности PKI необходимы средства физического и логического контроля, а также дополнительные механизмы защиты, такие как аппаратные модули безопасности (HSM).

 

Что такое подписание кода?

В криптографии открытых ключей подписание кода представляет собой специальное использование цифровых подписей на основе сертификатов, которое позволяет организации проверять личность издателя программного обеспечения и отсутствие изменений в программном обеспечении с момента его выхода.

Цифровые подписи предоставляют издателям программного обеспечения и внутренним командам разработчиков надежную криптографическую процедуру для защиты конечных пользователей от угроз кибербезопасности, включая развитые устойчивые угрозы (APT), например Duqu 2.0. Цифровые подписи гарантируют целостность и подлинность программного обеспечения. Цифровые подписи дают конечным пользователям возможность проверить подлинность издателя и убедиться в том, что установочный пакет не был изменен с момента его подписания. Все современные операционные системы находят и проверяют цифровые подписи во время установки, а предупреждения о неподписанном коде могут заставить конечных пользователей отказаться от установки.

 

Что такое цифровая подпись?

Цифровые подписи предоставляют издателям программного обеспечения и внутренним командам разработчиков надежную криптографическую процедуру для защиты конечных пользователей от угроз кибербезопасности, включая атаки продвинутых вредоносных программ. Цифровые подписи обеспечивают целостность и подлинность программного обеспечения и документов, а также дают конечным пользователям возможность проверить подлинность издателя и убедиться в том, что код или документ не были изменены с момента подписания.

Цифровые подписи представляют собой нечто большее, чем просто электронную версию обычной подписи. Используемые криптографические методы существенно повышают безопасность и прозрачность подписей, что имеет решающее значение для установления доверия и юридической силы подписей. Цифровые подписи можно применять в самых разных ситуациях — начиная с подачи налоговых деклараций через Интернет до заключения контрактов с поставщиками и выставления электронных счетов-фактур или публикации обновленного кода программного обеспечения.

Цифровые подписи также полезны для организаций, стремящихся сохранить целостность бизнеса путем защиты авторских прав и облегчения лицензирования. Например, такая компания, как Microsoft, может использовать подписи, чтобы не допустить выпуска своего программного обеспечения другой компанией, не связанной с Microsoft. Кроме того, подписи играют важную роль в обеспечении целостности цепочки поставок и истории происхождения компонентов. В сочетании с инфраструктурой открытых ключей (PKI) они становятся мощным инструментом для защиты программных компонентов от подделки или взлома перед развертыванием в продуктах или системах.

 

Что такое метка времени?

Все чаще в дополнение к цифровым подписям используют метки времени, которые позволяют организациям регистрировать время подписания цифрового элемента, будь-то сообщение, документ, транзакция или программное обеспечение. В некоторых случаях время выставления цифровой подписи имеет решающее значение, как, например, в случае сделок с ценными бумагами, выпуска лотерейных билетов и некоторых судебных разбирательств. Даже в тех случаях, когда время не является ключевым параметром в приложении, метки времени используются для учета и аудита, поскольку они позволяют определить, был ли цифровой сертификат действительным на момент его использования. Цифровые подписи становятся важной частью программного обеспечения, что создает соответствующий спрос на метки времени. Например, возможность проставления меток времени теперь доступна в Microsoft Office.

 

Важность безопасности

И если метки времени действительно столь полезны, они должны быть надежными.

 

Риски, связанные с ненадежными метками времени

  • В отсутствие доверия к электронным процессам может возникнуть необходимость обеспечивать дорогостоящий бумажный след для резервного копирования электронных записей.
  • Если злоумышленник сможет вмешаться в работу компьютерных часов, то легко скомпрометирует процесс проставления меток времени в программном обеспечении. В результате весь процесс проставления подписей будет недействительным.
  • Незащищенные процессы проставления меток времени или цифровых подписей могут стать причиной несоблюдения организацией требований и потенциальных проблем с законом.
  • Даже после отзыва закрытых ключей подписи и сертификатов пользователи могут иметь к ним доступ. Без установки метки времени организации не могут доказать, были ли подписи созданы до или после отзыва сертификата.