Открытый ключ гарантирует защиту информации

Изобретение стойких асимметричных алгоритмов шифрования привело к их стандартизации в международном масштабе

Международные банковские информационные системы для обеспечения целостности сообщений и их авторизации используют криптографические методы аутентификации сообщений и пользователей с применением кодов аутентификации (message authentication code, MAC). В рамках этой концепции применяются различные технические решения: средства цифровой подписи с инфраструктурой открытых ключей (PKI), использование методов шифрования с симметричными и асимметричными ключами, вычисление хэш-функций и другие способы.

В России закон привязывает участников рынка к технологии использования электронной подписи, основанной на методе вычисления хэш-функции с применением асимметричных открытых и закрытых криптографических ключей, а также их сертификатов.

Благодаря криптографическим системам с открытым ключом (их еще называют асимметричными системами шифрования) преодолены ограничения симметричных систем, связанных с процедурой управления ключами при помощи организации центров сертификации. Абонентам не нужно лично встречаться для обмена секретными данными: обмениваться ключами можно и по открытым каналам связи.

«Инфраструктура открытых ключей (англ. PKI - public key infrastructure) реализуется в модели «клиент-сервер», то есть проверка какой-либо информации, предоставляемой инфраструктурой, может происходить только по инициативе клиента. Недостатков у такой инфраструктуры при грамотном внедрении нет», - рассказывает председатель правления Первого Республиканского Банка (ПРБ) Олег Курбатов.

Задачей PKI является определение политики выпуска цифровых сертификатов, выдача их и аннулирование, хранение информации, необходимой для последующей проверки правильности сертификатов. В число приложений, поддерживающих PKI, входят защищенная электронная почта, протоколы платежей, электронные чеки, электронный обмен информацией, защита данных в сетях с протоколом IP, электронные формы и документы с электронной подписью (ЭП).

«Деятельность инфраструктуры открытых ключей осуществляется на основе регламента системы. PKI основывается на использовании принципов криптографической системы с открытым ключом. Инфраструктура управления открытыми ключами состоит из центра сертификации (удостоверяющего центра - УЦ), конечных пользователей и опциональных компонентов: центра регистрации и сетевого справочника», - поясняет Олег Курбатов (ПРБ).

PKI оперирует в работе сертификатами - электронными документами, которые содержат открытый электронный ключ пользователя или же ключевую пару (keypair): информацию о пользователе-владельце сертификата, удостоверяющую подпись центра выдачи сертификатов (УЦ) и данные о сроке действия сертификата. Для того чтобы клиент мог работать с УЦ, необходимо включить центр в список доверенных центров. После включения в этот список любой сертификат, выданный доверенным центром, считается достоверным, а его владелец - достойным доверия.

«Основой инфраструктуры открытых ключей является удостоверяющий центр, который выполняет роль нотариуса, и только он может подтвердить, что открытый ключ принадлежит конкретному лицу. Участники PKI (пользователи) обладают закрытым ключом, который держат в тайне. Если говорить о банковской инфраструктуре открытых ключей, то она обычно создается для оказания услуг интернет-банка. Основная ее задача - замена собственноручной подписи на бумажном документе электронной подписью элек­тронного документа. Статус ЭП, согласно Федеральному закону № 63-ФЗ «Об электронной подписи», устанавливается в договоре между клиентом и банком», -дополняет руководитель службы информационной безопасности Абсолют Банка Михаил Гиленко.

Для электронного документооборота нужны два ключа, одного из них недостаточно. Закрытый ключ, как следует из названия, должен храниться в секрете, он используется обычно для создания электронной подписи на электронном документе. Закрытый ключ известен только его владельцу. Он используется для подписи данных, открытый ключ, в свою очередь, применяется для шифрования информации. По словам Михаила Гиленко (Абсолют Банк), открытый ключ не конфиденциален и используется для подтверждения того, что конкретный владелец закрытого ключа установил электронную подпись под электронным документом.

«Владелец секретного ключа всегда хранит его в защищенном хранилище и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известен другим пользователям. Если же секретный ключ все-таки попадет в руки злоумышленников, то он считается скомпрометированным и должен быть отозван и заменен. Только владелец секретного ключа может подписать документ, а также расшифровать данные, которые были зашифрованы открытым ключом, соответствующим секретному ключу владельца. Подпись на данных или на письме гарантирует авторство полученной информации и то, что информация в процессе передачи не подверглась изменениям. Подпись двоичного кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует», -говорит Олег Курбатов (ПРБ).