Центр сертификации

В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Технически центр сертификации реализован как компонент глобальной службы каталогов и отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Потребность в центре сертификации

Асимметричный шифр позволяет шифровать одним ключом, а расшифровывать другим. Таким образом, один ключ (ключ расшифровки, «секретный») хранится у принимающей стороны, а второй (ключ шифрования, «открытый») можно получить при сеансе прямой связи, по почте, найти на «электронной доске объявлений», и т. д. Но такая система связи остаётся уязвимой для злоумышленника, который представляется Алисой, но отдаёт свой открытый ключ, а не её.

Для решения этой проблемы открытый ключ Алисы вместе с сопроводительной информацией (именем, сроком действия и прочим) подписывается центром сертификации. Конечно же, предполагается, что центр сертификации честный и не подпишет ключ злоумышленника. И второе требование: открытый ключ центра сертификации распространяется настолько широко, что ещё до установления связи Алиса и Боб будут иметь этот ключ, и злоумышленник ничего не сможет с этим поделать.

Когда сеть очень велика, нагрузка на центр сертификации получается большая. Поэтому сертификаты могут образовывать цепочки: корневой центр сертификации подписывает ключ службы безопасности компании, а та — ключи сотрудников. Честными должны быть все члены цепочки, а иметь широко известный ключ достаточно корневому центру.

Наконец, секретные ключи абонентов время от времени раскрываются. Поэтому, если есть возможность связаться напрямую с центром сертификации, последний должен иметь возможность отзывать сертификаты своих «подчинённых».

На случай, если есть дешёвый открытый канал связи (Интернет) и дорогой засекреченный (личная встреча), существуют самозаверенные сертификаты. Их, в отличие от обычных, дистанционно отзывать невозможно. Корневые сертификаты так же технически являются самозаверенными.

Основные сведения

Центр сертификации — это компонент, отвечающий за управление криптографическими ключами пользователей.

Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

серийный номер сертификата;
объектный идентификатор алгоритма электронной подписи;
имя удостоверяющего центра;
срок действия сертификата;
имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
открытые ключи владельца сертификата (ключей может быть несколько);
объектные идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
электронная подпись, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).

Отличием аккредитованного центра является то, что он находится в договорных отношениях с вышестоящим удостоверяющим центром и не является первым владельцем самоподписанного сертификата в списке удостоверенных корневых сертификатов. Корневой сертификат аккредитованного центра удостоверен вышестоящим удостоверяющим центром в иерархии системы удостоверения. Таким образом, аккредитованный центр получает «техническое право» работы и наследует «доверие» от организации, выполнившей аккредитацию.

Аккредитованный центр сертификации ключей обязан выполнять все обязательства и требования, установленные законодательством страны нахождения или организацией, проводящей аккредитацию в своих интересах и в соответствии со своими правилами.

Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются соответствующим уполномоченным органом государства или организации, выполняющей аккредитацию.

Центр сертификации ключей имеет право:

предоставлять услуги по удостоверению сертификатов электронной цифровой подписи
обслуживать сертификаты открытых ключей
получать и проверять информацию, необходимую для создания соответствия между информацией, указанной в сертификате ключа, и предъявленными документами.

Удостоверяющие центры в России

Для осуществления работы удостоверяющие центры, согласно закону N 63-ФЗ от 6 апреля 2011 года,^[1], должны быть аккредитованы.^[2] Указанный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. В связи с интенсивным развитием цифровизации государственных услуг в 2021 году регламент работы удостоверяющих центров существенно изменен.

Манипуляции с электронными подписями в центрах сертификации РФ

В Российской Федерации центры сертификации электронных подписей иногда используются для фальсификации электронных подписей^[3]. По мнению аудиторов Счетной палаты Российской Федерации, после массовых незаконных переводов пенсионных накоплений из ПФР в НПФ действия аккредитованных удостоверяющих центров по передаче заявлений о смене страховщика нуждаются в специальной проверке со стороны Минкомсвязи^[4], дело в том, что коллегия Счетной палаты под председательством Татьяны Голиковой уличила некоторые УЦ в неправомерном применении электронной подписи застрахованного лица, а также оформлении документов без участия гражданина^[5]. «Проверка Счетной палаты в очередной раз выявила массовые нарушения даже при наличии усиленных мер защиты электронной подписи», прокомментировал ситуацию президент АНПФ Сергей Беляков^[6], причем, доказательства манипуляций УЦ с подписями были настолько убедительными, что ПФР прекратил прием заявлений о переводе пенсионных накоплений через удостоверяющие центры^[7]. В Пенсионом фонде России называли случившееся последствием пилотного проекта, но не отрицали, что переходы стали возможны, в том числе, через агентов, сотрудничающих с удостоверяющими центрами^[8], «не выдерживающими никакой критики» оправданиями назвала подобную позицию ПФР председатель Счетной палаты Татьяна Голикова^[9]. Некоторые эксперты утверждали, что массовая фальсификация электронных подписей производилась путем повторного использования удостоверяющим центром электронной подписи клиента^[10]. В результате, заподозривший сговор УЦ с НПФ, Минтруд разработал предложение по исключению удостоверяющих центров из системы подачи электронных заявлений о смене НПФ от граждан, на что Минфин и Минэкономразвития направили отрицательные отзывы и заблокировали инициативу Минтруда, как незаконную^[11], однако, доверие к российским УЦ было безвозвратно потеряно^[12].
Другой способ манипуляции с электронными подписями через центр сертификации заключается в том, что клиенту предлагают дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра, в этом случае оформление электронной подписи производится удаленно, на основании документов заявителя, представленных через интернет центру сертификации^[13]. В результате подобных действий, вызванных, по мнению специалистов правовой системы «Гарант», тем что «IT-функции в деятельности УЦ преобладают над его юридической сущностью», электронная подпись может быть использована недобросовестными третьими лицами^[14]. Недопустим выпуск сертификата электронной подписи по рукописной доверенности^[15].

См. также

Примечания

↑ ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года) (рус.). https://docs.cntd.ru/. docs.cntd.ru (24 февраля 2021). Дата обращения: 22 мая 2021.
↑ Аккредитация удостоверяющих центров (рус.). digital.gov.ru. digital.gov.ru (22 мая 2021). Дата обращения: 22 мая 2021.
↑ «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» 2008—2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017
↑ «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.
↑ «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017
↑ «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,
↑ «ПФР будет работать по-новому после критики Счетной палаты» «Ведомости» от 28 июня 2017
↑ «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» «РБК» от 27 июня 2017
↑ «Выявлены массовые фальсификации при переводе пенсионных накоплений» «Ведомости» от 27 июня 2017
↑ «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».
↑ «Минтруд решил осложнить перевод пенсионных накоплений» «Ведомости» от 16 января 2017
↑ «НПФ решили проблему перехода» Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.
↑ «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» «Гарант» от 7 декабря 2017
↑ «Оформление электронной подписи без личного присутствия нарушает закон» «Электронный экспресс», 2018.
↑ «Риски выпуска сертификата электронной подписи по рукописной доверенности» Компания «Гарант» от 19 января 2018.

Ссылки

Перечень центров сертификации по странам (недоступная ссылка)
Удостоверяющие центры в каталоге ссылок Curlie (dmoz)
Список корневых сертификатов, включенных в Firefox
Обзор Удостоверяющих Центров
https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX , https://itnan.ru/post.php?c=1&p=666520

[sb0102-1] ФЕДЕРАЛЬНЫЙ ЗАКОН Об электронной подписи (с изменениями на 24 февраля 2021 года) (рус.). https://docs.cntd.ru/. docs.cntd.ru (24 февраля 2021). Дата обращения: 22 мая 2021.

[sb2205-2] Аккредитация удостоверяющих центров (рус.). digital.gov.ru. digital.gov.ru (22 мая 2021). Дата обращения: 22 мая 2021.

[3] «ПФР приостановил прием заявлений о переводе накоплений в УК и НПФ» 2008—2018 «Пенсионный Фонд Российской Федерации» от 29 июня 2017

[4] «Порядок перевода пенсионных накоплений из ПФР несет риски, считают в СП» МИА «Россия сегодня» от 27.06.2017.

[5] «Граждане не имеют возможности получить актуальную информацию при заключении договора с НПФ» «Счетная палата Российской Федерации», 27 июня 2017

[6] «Простая электронная подпись не защитит накопления» gazeta.ru от 31.07.2017,

[7] «ПФР будет работать по-новому после критики Счетной палаты» «Ведомости» от 28 июня 2017

[8] «Счетная палата указала на манипуляции с пенсионными накоплениями граждан» «РБК» от 27 июня 2017

[9] «Выявлены массовые фальсификации при переводе пенсионных накоплений» «Ведомости» от 27 июня 2017

[10] «Электронная подпись вышла из доверия» «РБК» № 108 (2604) (2306) 23 июня 2017: «По словам советника НАПФ Валерия Виноградова, электронная подпись, формирующаяся в удостоверяющем центре, должна использоваться единоразово. После ее использования центр должен ее удалить, говорит он. „Однако в конце декабря эти электронные подписи клиентов использовались вторично“, — констатирует эксперт».

[11] «Минтруд решил осложнить перевод пенсионных накоплений» «Ведомости» от 16 января 2017

[12] «НПФ решили проблему перехода» Газета «Коммерсантъ» № 239 от 22.12.2017, стр. 10.

[13] «Выпуск электронной подписи без личного присутствия заявителя нарушает закон» «Гарант» от 7 декабря 2017

[14] «Оформление электронной подписи без личного присутствия нарушает закон» «Электронный экспресс», 2018.

[15] «Риски выпуска сертификата электронной подписи по рукописной доверенности» Компания «Гарант» от 19 января 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]