Глава
26
Сертификаты
Руководство
пользователя
для
серии
NXC
291
2
Тим
сохраняет
секретный
ключ
у
себя
,
а
открытый
ключ
делает
общедоступным
.
Таким
образом
,
каждый
адресат
сообщения
,
предположительно
полученного
от
Тима
,
может
прочитать
его
и
удостовериться
,
действительно
ли
оно
пришло
от
него
,
или
нет
.
3
Тим
подписывает
сообщение
с
помощью
секретного
ключа
и
отправляет
его
Дженни
.
4
Дженни
получает
сообщение
и
использует
открытый
ключ
Тима
для
его
проверки
.
Дженни
понимает
,
что
сообщение
действительно
пришло
от
Тима
,
и
,
хотя
кто
-
то
мог
прочесть
его
по
дороге
,
содержимое
сообщения
точно
осталось
неизменным
(
поскольку
злоумышленники
не
смогли
бы
заново
подписать
сообщение
секретным
ключом
Тима
).
5
В
свою
очередь
,
Дженни
подписывает
ответ
Тиму
с
помощью
своего
секретного
ключа
,
а
Тим
использует
открытый
ключ
Дженни
для
проверки
полученного
ответа
.
Устройство
NXC
использует
сертификаты
,
основанные
на
криптографии
с
открытым
ключом
,
для
аутентификации
пользователей
,
пытающихся
установить
соединение
(
а
не
для
шифрования
данных
,
отправляемых
после
установки
соединения
).
Метод
шифрования
данных
,
отправляемых
по
установленному
соединению
,
зависит
от
типа
соединения
.
Центр
сертификации
подписывает
сертификаты
с
помощью
собственного
секретного
ключа
.
После
этого
любой
может
использовать
открытый
ключ
центра
сертификации
для
проверки
сертификатов
.
Путь
сертификации
–
это
иерархия
сертификатов
центра
сертификации
,
которая
делает
сертификат
действующим
.
Устройство
NXC
не
доверяет
сертификату
,
если
хотя
бы
один
из
сертификатов
на
его
пути
сертификации
имеет
истекший
срок
действия
или
был
отозван
.
Центры
сертификации
располагают
серверами
каталогов
с
базами
данных
,
хранящими
информацию
о
действующих
и
отозванных
сертификатах
.
Каталог
сертификатов
,
которые
были
отозваны
до
запланированного
окончания
срока
действия
,
называют
CRL (Certificate
Revocation List,
список
отозванных
сертификатов
).
Устройство
NXC
может
проверить
наличие
сертификата
,
предоставленного
партнером
по
соединению
,
в
списке
отозванных
сертификатов
сервера
каталогов
.
Инфраструктура
,
включающая
в
себя
серверы
,
программные
средства
,
процедуры
и
политики
для
работы
с
ключами
,
называется
инфраструктурой
PKI (public-key
infrastructure,
инфраструктурой
шифрования
с
открытым
ключом
).
Преимущества
сертификатов
Сертификаты
обладают
следующими
преимуществами
.
•
Устройство
NXC
должно
хранить
только
сертификаты
доверенных
центров
сертификации
,
независимо
от
того
,
сколько
устройств
приходится
аутентифицировать
.
•
Механизм
распространения
ключей
прост
и
исключительно
безопасен
,
поскольку
имеется
возможность
свободно
распространять
открытые
ключи
,
и
при
этом
никогда
не
приходится
передавать
кому
-
либо
секретные
ключи
.
Самоподписанные
сертификаты
Устройство
NXC
может
выступать
в
качестве
центра
сертификации
и
подписывать
собственные
сертификаты
.