Shakl: 1. Outlook 2007 ishonch markazining sahifasi

Va hamma narsa yaxshi bo'lar edi, lekin imzolangan xatni yuborish uchun sizda kriptografiya bilan ishlaydigan dastur (kriptografik xizmat ko'rsatuvchi provayder, CSP) va ma'lum bir maqsadga oid sertifikat va u bilan bog'liq bo'lgan shaxsiy kalit bo'lishi kerak. Sertifikatning maqsadi uni ishlatish sohasidir. Sertifikatlarning maqsadi haqida keyinroq gaplashamiz, ammo hozirgi vazifa uchun bizga elektron pochtani himoya qilish uchun sertifikat kerak (elektron pochta orqali himoya sertifikati).

Ammo bizning ehtiyojlarimizga qaytib boring. Kripto-provayderni ushbu dasturni qaerdan olishim mumkin? Yaxshiyamki, Windows operatsion tizimi nafaqat formatning o'zini qo'llab-quvvatlaydi, balki tizimning har qanday versiyasi bilan mutlaqo bepul, ya'ni bepul keladigan kriptografik provayderlar to'plamini ham o'z ichiga oladi. Shunday qilib, ushbu vaziyat uchun eng aniq echim ulardan foydalanishdir.

Shunday qilib, biz shifrlash provayderini aniqladik, ammo sertifikat bilan nima qilish kerak? Oldingi qismda men sertifikatlarni berish jarayonida ma'lum bir uchinchi tomon ishtirok etayotganligini aytdim - sertifikat beruvchi, to'g'ridan-to'g'ri sertifikatlar beradigan va ularning mazmuni va dolzarbligini tasdiqlaydigan sertifikatlash markazi. Men bu masalada batafsilroq to'xtalib o'taman, chunki kelajakda bizga bu bilim kerak bo'ladi.

Ushbu maxsus foydalanuvchi sertifikati to'g'ri ekanligi va undagi tarkib o'zgartirilmaganligi haqidagi tasdiqlash xuddi shu elektron raqamli imzo, faqat sertifikatlashtirish idorasi allaqachon imzolangan.

Sertifikatlashtirish markazi, xuddi foydalanuvchilar kabi, o'z sertifikatiga ega. Va uning yordami bilan u o'zi tomonidan berilgan sertifikatlarga imzo chekadi. Ushbu protsedura, birinchidan, sertifikatlashtirish idorasi tomonidan berilgan sertifikatlarni o'zgartirishdan himoya qiladi (men yuqorida aytib o'tgan edim), ikkinchidan, ushbu sertifikatni qaysi sertifikatlashtirish idorasi berganligini aniq ko'rsatib beradi. Natijada, yomon odam, albatta, sizning familiyangiz, familiyangiz va hattoki har qanday qo'shimcha ma'lumotlaringiz bilan sertifikatingizning to'liq nusxasini yaratishi mumkin, ammo sertifikatlashtirish markazining shaxsiy kalitiga ega bo'lmasdan elektron raqamli imzoni soxtalashtirish u uchun deyarli imkonsiz vazifa bo'lib qoladi va shuning uchun bu soxtalashtirishni tan olish nafaqat oson, balki juda oson bo'ladi.

Do'stona tarzda sertifikatlashtirish markazining guvohnomasi ham himoya qilinishi kerak. Va bu imzolanganligini anglatadi. Kim tomonidan? Yuqori darajadagi sertifikatlash markazi. Va bu, o'z navbatida, undan ham ustundir. Va bunday zanjir juda uzoq bo'lishi mumkin. Qanday tugaydi?

Va bu sertifikatlashtirish markazining o'z-o'zidan imzolangan sertifikati bilan tugaydi. Bunday sertifikat u bilan bog'liq bo'lgan shaxsiy kalit bilan imzolanadi. Taqqoslash bo'yicha, bu bosh direktorning lavozimi va ish haqi to'g'risidagi guvohnomaga o'xshaydi. " Ushbu ma'lumotnoma bilan Ivanov I.I., MChJ Bosh direktori« Momaqaymoq» ivanov AND.AND ekanligini tasdiqlaydi. ushbu tashkilotda bosh direktor lavozimini egallaydi va ####### rubl maosh oladi". Ushbu sertifikatga ishonish uchun siz "Dandelion" MChJ kompaniyasining o'ziga ishonishingiz kerak va bu ishonch uchinchi tomon tomonidan qo'llab-quvvatlanmaydi.

Ildiz sertifikatlari (ya'ni sertifikatlashtirish organlarining sertifikatlari) bilan ham shundaydir. Siz ishongan sertifikatlashtirish organlarining o'z-o'zidan imzolangan sertifikatlari tizimdagi "Ishonchli ildizlarni sertifikatlashtirish idoralari" deb nomlangan maxsus do'konda saqlanishi kerak. Ammo u erga borishdan oldin, ularni qandaydir tarzda olishingiz kerak. Va bu tizimdagi eng zaif bo'g'in. O'z-o'zidan imzolangan sertifikatning o'zi, xuddi foydalanuvchi sertifikati singari, soxtalashtirilishi mumkin emas, lekin uni uzatish paytida almashtirish juda yaxshi bo'ladi. Bu shuni anglatadiki, translyatsiya soxtalashtirishdan himoyalangan kanal orqali amalga oshirilishi kerak.

Bunday qiyinchiliklarga yo'l qo'ymaslik uchun, iloji bo'lsa, Microsoft bir nechta CA-larni tanladi va ularning sertifikatlarini to'g'ridan-to'g'ri Windows o'rnatishga kiritdi (Thawte, VeriSign va boshqalar). Sizda ular allaqachon kompyuteringizda bor va ularni biron bir joydan olishingiz shart emas. Bu shuni anglatadiki, siz ularni kompyuteringizda troyan bo'lsa (yoki yomon odam administratorga kirish huquqiga ega bo'lishi kerak bo'lsa), ularni almashtirishingiz mumkin va bu holda raqamli imzodan foydalanish haqida gaplashish biroz ma'nosizdir. Bundan tashqari, ushbu sertifikatlashtirish idoralari keng tanilgan va ko'p odamlar tomonidan qo'llaniladi va ularning sertifikatlarini oddiygina almashtirish, masalan, ushbu sertifikatlashtirish idoralari tomonidan sertifikatlar berilgan saytlarning ishlashida ko'plab xatolarga olib keladi, bu esa o'z navbatida tezkor ravishda bu erda biron bir narsa toza emas.

Aytgancha, o'z-o'zidan imzolangan sertifikatlar haqida: siz bunday sertifikatni nafaqat sertifikatlashtirish markazi uchun, balki o'zingizning foydalanishingiz uchun yaratishingiz mumkin. Tabiiyki, bunday sertifikat ushbu turdagi sertifikatlarning barcha kamchiliklarini meros qilib oladi, ammo yozishmalarda elektron raqamli imzodan foydalanishga arziydimi yoki buni qilish yaxshiroqmi, buni tekshirish uchun juda yaxshi. Bunday sertifikatlarni yaratish uchun siz Microsoft Office vositalariga kiritilgan dasturdan foydalanishingiz mumkin (VBA loyihalari uchun raqamli sertifikat) yoki ushbu sertifikatning maqsadini va boshqa sohalarini yaxshiroq sozlash uchun uchinchi tomon dasturi, masalan, CryptoArm, hatto uning bepul versiyasida ham sertifikatlar yaratish.