РБК СОФТ

Сертификаты Thawte

Криптозащита. Технология «двойного ключа».

Возможности цифровых сертификатов обуславливаются их криптозащитой: специальная математическая технология обеспечивает не только шифрование, но и аутентификацию данных (так называемый механизм «цифровой подписи»). При этом используется так называемый «механизм двойного ключа». В процессе сертификации на вашем сервере генерируются и размещаются два многоразрядных числа, связанных между собой специальной математической закономерностью. Одно из этих чисел — секретный ключ — недоступен ни для кого. Второе — открытый ключ — напротив, свободно раздается всем желающим установить безопасное соединение с вашим сайтом. Математическая связь между ключами такова, что информация, зашифрованная открытым ключом, может быть расшифрована только с помощью закрытого ключа, и наоборот. Поэтому клиент, отправляя вам свои данные, может быть уверенным, что никто (включая его самого) не сможет прочитать пакет на пути к получателю. При отправке информации (например, веб-страницы) от сервера клиенту та шифруется уже секретным ключом. Если открытым ключом удалось расшифровать полученный пакет, то это означает, что отправителем является держатель соответствующего секретного ключа. Такой режим работы называют еще цифровой подписью данных.

Разумеется, как было уже отмечено выше, весь процесс использования ключей и шифрования происходит без участия пользователя, в автоматическом режиме. Технология «двойного ключа» обладает рядом преимуществ по сравнению с традиционными криптосистемами. На основе технологии двойного ключа основаны не только серверные SSL, но и другие сертификаты Thawte, как корпоративного, так и персонального пользования, например, сертификаты для электронной почты.

Криптостойкость

Важнейшей характеристикой любой криптосистемы является ее стойкость — способность противостоять взлому в течение определенного времени. Исследуя шифровальный алгоритм, используемый в сертификатах Thawte, математическими методами можно определить приблизительное количество операций, которые необходимо проделать для «вскрытия» кода без знания ключа. Зная быстродействие современных компьютеров, легко вычислить и время, которое понадобится злоумышленнику на преодоление защиты. С ростом длины используемого ключа, измеряемой обычно в битах, сложность взлома резко возрастает. Достаточно сказать, что в проекте distributed. net для исследования одного из подобных алгоритмов с открытым ключом мобилизовано несколько десятков тысяч персональных компьютеров по всему миру, однако на раскрытие единственного ключа длиной 56 бит ушло 250 суток, а ключ длиной 64 бита остается не раскрытым с 1997 года.

В системах, использующих сертификаты Thawte, сегодня применяются ключи длиной 128 бит, причем Суперсертификаты делают шифрование с такой длинной ключа доступным даже для старых международных версий браузеров, криптовозможности которых были снижены из-за экспортных ограничений.

Сеансовый ключ

В протоколе SSL для шифрования информации, отправляемой клиенту, при каждом сеансе связи генерируется еще один сеансовый ключ. Это дополнительно повышает безопасность соединения: даже если бы постороннему и удалось раскрыть ключ текущего сеанса, то, во-первых, после этого ему пришлось бы преодолеть еще и криптозащиту основного сертификата, а, во-вторых, в следующем сеансе ключ будет уже другой.

Цифровая подпись

Следует различать понятия «электронная подпись» и «цифровая подпись». Под электронной подписью обычно понимают любую информацию, пригодную для идентификации ее создателя — например, файл с отсканированным факсимиле, звукозапись голоса, HTTP-запрос и т. п. Таким образом, электронная подпись не обязана содержать каких-либо средств ее защиты от подделки, являясь понятием скорее юридическим, нежели техническим. В частности, принятый в США в 2000 году закон регулирует применение именно электронных подписей.

Цифровая подпись, напротив, подразумевает применение криптотехнологий для ее защиты от подделки и от искажения данных, к которым она относится. Сертификаты Thawte могут применяться в системах цифровой подписи, обеспечивая именно такую защиту информации.

Многие Российские компании, предоставляющие различные сервисы через Интернет, а так же большое количество банков и иных финансовых структур уже давно пользуются цифровыми сертификатами Thawte для обеспечения безопасности информационного обмена со своими клиентами. В России пионером по предоставлению цифровых сертификатов стала три года назад компания «РБК-Софт», входящая в группу компаний «РосБизнесКонсалтинг» — единственный представитель компании Thawte на территории Российской федерации, СНГ и стран Балтии.

Безопасность интернет-коммерции

Традиционные протоколы интернета (например, HTTP — основной протокол для передачи страниц WWW) не обеспечивают практически никакой защиты информации на пути от сервера к клиенту и обратно. Злоумышленники довольно легко могут перехватывать информационные пакеты, искажать содержащиеся в них данные и даже перенаправить весь информационный обмен с клиентом на поддельный сервер, имитирующий работу сервера вашей компании. В результате частная информация клиента (например, данные его кредитной карты) может стать достоянием постороннего, а сделки, совершенные с участием подставного сервера — предметом споров. Учитывая это, многие пользователи, совершающие сделки через Интернет, просто отказывается от работы с сайтом, не обеспечивающим необходимого уровня защиты он-лайновых транзакций.

Рисунок 1

С другой стороны, пользователь сайта, поддерживающего безопасный протокол SSL и имеющего цифровой сертификат от Thawte, может быть уверен:

  • в подлинности (аутентичности) сайта: просматриваемая пользователем страница получена именно с указанного адреса, а сам сайт действительно принадлежит компании, на имя которой выдан сертификат;

  • в целостности информации: за время передачи данных через Интернет они не могут быть изменены или испорчены;

  • в приватности информации: за счет использования шифрования данных, передаваемых между клиентом и сервером, их содержание не станет доступно посторонним.

При этом процесс аутентификации полностью «прозрачен» для пользователя, т. е. не требует от него специальных знаний или каких-либо действий, отличающихся от обычной работы с интернет-браузером. Протокол SSL в настоящее время поддержан большинством браузеров, включая Microsoft Internet Explorer, Netscape Navigator, Opera и Mozilla. О работе через безопасное соединение с использованием цифрового сертификата в этих программах говорит специальный индикатор в строке статуса.

Рисунок 2

В сертификатах использована удобная в обращении и высоконадежная технология криптозащиты с двойным ключом длиной до 128-бит, причем использование Суперсертификатов позволяет применять ее даже в старых и международных версиях браузеров, имеющих ограничения по длине ключа.

Многие Российские компании, предоставляющие различные сервисы через Интернет, а так же большое количество банков и иных финансовых структур уже давно пользуются цифровыми сертификатами Thawte для обеспечения безопасности информационного обмена со своими клиентами. В России пионером по предоставлению цифровых сертификатов стала три года назад компания «РБК-Софт», входящая в группу компаний «РосБизнесКонсалтинг» — единственный представитель компании Thawte на территории Российской федерации, СНГ и стран Балтии.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS