Autoridad de certificación

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 18 de febrero de 2022; las comprobaciones requieren 6 ediciones .

En criptografía , una autoridad de certificación o autoridad de certificación ( es decir, autoridad  de certificación, CA ) es una parte (departamento, organización) cuya honestidad es innegable y la clave pública es ampliamente conocida. La tarea de la autoridad de certificación es autenticar las claves de cifrado mediante certificados de firma electrónica .

Técnicamente, la CA se implementa como un componente del servicio de directorio global y es responsable de administrar las claves criptográficas de los usuarios. Las autoridades de certificación almacenan las claves públicas y otra información sobre los usuarios en forma de certificados digitales .

La necesidad de una autoridad certificadora

Un cifrado asimétrico le permite cifrar con una clave y descifrar con otra. Así, una clave (la clave de descifrado, "secreta") es guardada por la parte receptora, y la segunda (la clave de cifrado, "abierta") se puede obtener durante una sesión de comunicación directa, por correo, que se encuentra en el "electronic tablón de anuncios", etc. Pero dicho sistema de comunicación sigue siendo vulnerable a un atacante que se hace pasar por Alice , pero da su clave pública, no la de ella.

Para resolver este problema, la clave pública de Alice, junto con la información que la acompaña (nombre, fecha de vencimiento, etc.) , está firmada por una autoridad certificadora. Por supuesto, se supone que la autoridad de certificación es honesta y no firmará la clave del atacante. Y el segundo requisito: la clave pública de la autoridad de certificación se distribuye tan ampliamente que incluso antes de que se establezca la conexión, Alice y Bob tendrán esta clave y el atacante no podrá hacer nada al respecto.

Cuando la red es muy grande, la carga en la autoridad certificadora es grande. Por lo tanto, los certificados pueden formar cadenas: la autoridad de certificación raíz firma la clave del servicio de seguridad de la empresa y la empresa firma las claves de los empleados. Todos los miembros de la cadena deben ser honestos, y basta con que el centro raíz tenga una clave ampliamente conocida.

Finalmente, las claves privadas de los suscriptores se exponen de vez en cuando. Por lo tanto, si es posible comunicarse directamente con la autoridad de certificación, esta debería poder revocar los certificados de sus "subordinados".

En caso de que haya un canal de comunicación abierto barato (Internet) y uno secreto caro (reunión personal), existen certificados autofirmados . Ellos, a diferencia de los convencionales, no pueden ser recordados remotamente. Los certificados raíz también están técnicamente autofirmados.

Información básica

Una autoridad de certificación es un componente responsable de administrar las claves criptográficas de los usuarios.

Las autoridades de certificación almacenan las claves públicas y otra información sobre los usuarios en forma de certificados digitales que tienen la siguiente estructura:

• número de serie del certificado;
• identificador de objeto del algoritmo de firma electrónica ;
• el nombre de la autoridad de certificación;
• período de validez del certificado;
• nombre del propietario del certificado (nombre del usuario propietario del certificado );
• claves públicas del propietario del certificado (puede haber varias claves);
• identificadores de objeto de los algoritmos asociados a las claves públicas del titular del certificado;
• una firma electrónica generada utilizando la clave secreta de la autoridad de certificación (se firma el resultado hash de toda la información almacenada en el certificado).

La diferencia con un centro acreditado es que tiene una relación contractual con una autoridad de certificación superior y no es el primer propietario de un certificado autofirmado en la lista de certificados raíz certificados. El certificado raíz de una autoridad acreditada está certificado por una autoridad de certificación superior en la jerarquía del sistema de identidad. Así, el centro acreditado recibe el "derecho técnico" de la obra y hereda la "fideicomiso" del organismo que realizó la acreditación.

Un centro de certificación clave acreditado está obligado a cumplir con todas las obligaciones y requisitos establecidos por la legislación del país de ubicación o por una organización que realiza la acreditación en su propio interés y de acuerdo con sus reglas.

El procedimiento de acreditación y los requisitos que debe cumplir un centro de certificación clave acreditado son establecidos por el organismo autorizado pertinente del estado u organización que realiza la acreditación.

La Autoridad de Certificación Clave tiene derecho a:

• prestar servicios para la certificación de certificados de firma digital electrónica
• mantener certificados de clave pública
• recibir y verificar la información necesaria para crear una correspondencia entre la información especificada en el certificado clave y los documentos presentados.

Centros de certificación en Rusia

Para realizar el trabajo, los centros de certificación, según la Ley N 63-FZ del 6 de abril de 2011, [1] , deben estar acreditados. [2] La presente ley regula las relaciones en materia de uso de firmas electrónicas en transacciones de derecho civil, la prestación de servicios estatales y municipales, el desempeño de funciones estatales y municipales, y la realización de otros actos de trascendencia jurídica. En relación con el desarrollo intensivo de la digitalización de los servicios públicos en 2021, las regulaciones para el trabajo de los centros de certificación se han modificado significativamente.

Manipulaciones con firmas electrónicas en centros de certificación de la Federación Rusa

• En la Federación Rusa , los centros de certificación de firmas electrónicas a veces se utilizan para falsificar firmas electrónicas [3] . Según los auditores de la Cámara de Cuentas de la Federación Rusa , después de las transferencias ilegales masivas de ahorros de pensión del PFR al NPF , las acciones de los centros de certificación acreditados para la transferencia de solicitudes para cambiar de aseguradora necesitan una verificación especial por parte del Ministerio de Comunicaciones . [4] , el hecho es que el colegio de la Cámara de Cuentas presidido por Tatyana Golikova condenó a algunas CA por utilizar ilegalmente la firma electrónica del asegurado, así como por redactar documentos sin la participación de un ciudadano [5] . “Una auditoría de la Cámara de Cuentas reveló una vez más violaciones masivas incluso en presencia de medidas mejoradas para proteger la firma electrónica”, comentó el presidente de la APPF Sergey Belyakov [6] , además, la evidencia de manipulación de CA con firmas fue tan convincente que el PFR dejó de aceptar solicitudes para la transferencia de ahorros previsionales a través de los centros de certificación [7] . El Fondo de Pensiones de Rusia calificó el incidente como consecuencia del proyecto piloto, pero no negó que las transferencias fueran posibles, incluso a través de agentes que cooperan con los centros de certificación [8] , justificaciones "no defendibles" calificaron tal posición del PFR, el presidente de la Cámara de Cuentas Tatyana Golikova [9] . Algunos expertos argumentaron que la falsificación masiva de firmas electrónicas se llevó a cabo mediante la reutilización de la firma electrónica del cliente por parte de la autoridad certificadora [10] . En consecuencia, ante la sospecha de una colusión entre la CA y los NPF , el Ministerio del Trabajo elaboró ​​una propuesta para excluir a los centros de certificación del sistema de presentación de solicitudes electrónicas para el cambio de NPF de los ciudadanos, a lo que el Ministerio de Hacienda y el Ministerio de Desarrollo Económico envió comentarios negativos y bloqueó la iniciativa del Ministerio de Trabajo como ilegal [11] , sin embargo, la confianza en la CA rusa se perdió irremediablemente [12] .
• Otra forma de manipular firmas electrónicas a través de una autoridad de certificación es que se le ofrece al cliente una emisión remota de un certificado reconocido sin contacto personal entre el solicitante y el empleado del departamento de registro del centro de certificación , en este caso se emite la firma electrónica de forma remota, en base a los documentos del solicitante presentados a través de Internet a la autoridad de certificación [13] . Como consecuencia de tales actuaciones, provocadas, según expertos del ordenamiento jurídico de Garant , por el hecho de que “ las funciones informáticas en las actividades de la CA prevalecen sobre su esencia jurídica ”, la firma electrónica puede ser utilizada por terceros sin escrúpulos [14]. ] . Es inaceptable emitir un certificado de firma electrónica bajo un poder notarial escrito a mano [15] .

Véase también

• Rutoken
• VeriSign
• Vamos a cifrar
• GlobalSign
• Lista de revocación de certificados

Notas

1. ↑ LEY FEDERAL Sobre Firma Electrónica (modificada el 24 de febrero de 2021) . https://docs.cntd.ru/ . docs.cntd.ru (24 de febrero de 2021). Fecha de acceso: 22 de mayo de 2021. (Ruso)
2. ↑ Acreditación de centros de certificación . digital.gov.ru _ digital.gov.ru (22 de mayo de 2021). Fecha de acceso: 22 de mayo de 2021. (Ruso)
3. ↑ “PFR ha suspendido la aceptación de solicitudes para la transferencia de ahorros al Reino Unido y NPF” 2008-2018 “ Fondo de Pensiones de la Federación Rusa ” del 29 de junio de 2017
4. ↑ “El procedimiento para transferir los ahorros de pensiones del Fondo de Pensiones conlleva riesgos, según la empresa conjunta” MIA Rossiya Segodnya del 27/06/2017.
5. ↑ “Los ciudadanos no tienen la oportunidad de recibir información actualizada al celebrar un acuerdo con NPF” “ Cámara de Cuentas de la Federación Rusa ”, 27 de junio de 2017
6. ↑ "Una firma electrónica simple no protegerá los ahorros" gazeta.ru del 31/07/2017,
7. ↑ "PFR funcionará de una nueva forma tras críticas de la Cámara de Cuentas" " Vedomosti " del 28 de junio de 2017
8. ↑ "La Cámara de Cuentas señaló manipulaciones con el ahorro previsional de los ciudadanos" " RBC " del 27 de junio de 2017
9. ↑ “Se revelaron falsificaciones masivas durante la transferencia de los ahorros de pensión” “ Vedomosti ” del 27 de junio de 2017
10. ↑ “Firma electrónica de confianza ” RBC No. 108 (2604) (2306) 23 de junio de 2017: “Según el asesor de NAPF, Valery Vinogradov, una firma electrónica generada en un centro de certificación debe usarse una sola vez. Una vez utilizado, el centro debe retirarlo, dice. “Sin embargo, a fines de diciembre, estas firmas electrónicas de clientes se utilizaron por segunda vez”, afirma el experto .
11. ↑ "El Ministerio del Trabajo decidió complicar la transferencia de los ahorros previsionales" " Vedomosti " del 16 de enero de 2017
12. ↑ "Los NPF resolvieron el problema de la transición" Periódico "Kommersant" No. 239 del 22/12/2017, página 10.
13. ↑ “Emitir una firma electrónica sin la presencia personal del solicitante viola la ley” “ Garant ” del 7 de diciembre de 2017
14. ↑ "Emitir una firma electrónica sin presencia personal viola la ley" " Electronic Express ", 2018.
15. ↑ "Riesgos de emitir un certificado de firma electrónica mediante poder notarial escrito a mano " Garant Company del 19 de enero de 2018.

Enlaces

• Lista de autoridades de certificación por país  (enlace inaccesible)
• CA en el directorio de enlaces de Curlie (dmoz)
• Lista de certificados raíz incluidos en Firefox
• Descripción general de las CA
• https://habr.com/ru/post/666520/ , https://archive.ph/VQwWX, https://itnan.ru/post.php?c=1&p=666520