Тоон сертификат
Тоон сертификат (Англи: Digital signature) буюу Нийтийн түлхүүрийн сертификат (Англи: Public key certificate) нь нийтийн түлхүүрт криптографийн үед хэрэглэх түлхүүрийн хүчинтэй эсэхийг нотлох цахим баримт бичиг юм.
Нийтийн түлхүүрт криптосистемд тулгардаг нэг асуудал бол хэрэглэгчид зөв хүний түлхүүрээр шифрлэж байгаа эсэхээ баталгаажуулж байнга сонор сэрэмжтэй байх хэрэгтэй. Нийтийн серверүүдээр түлхүүрүүдийг чөлөөтэй солилцоход дундын халдлагууд нилээд аюул занал болдог. Энэ төрлийн халдлагын үед хэн нэгэн, хэрэглэгчийн зориулсан хүлээн авагчийн нэр болон хэрэглэгчийн дугаартай хуурамч түлхүүрийг илгээдэг. Нийтийн түлхүүрийн орчин тойронд хамгийн чухал зүйл бол таны өгөгдөл шифрлэсэн нийтийн түлхүүр яг тухайн хүлээн авагчид зориулсан нийтийн түлхүүр бөгөөд энэ нь хуурамч биш гэдэг баталгааг гаргаж өгөх явдал юм. Танд бодитоор гардуулж өгсөн тэдгээр түлхүүрүүдээр л та шуудхан л шифрлэлтийг хийж чадна. Гэвч та хэзээ ч уулзаж байгаагүй хүмүүстэй мэдээлэл солилцох хэрэгцээ гарсан гэж төсөөлбөл, та зөв түлхүүртэй гэдгээ яаж хэлэх вэ? Тоон сертификат буюу certs нь нийтийн түлхүүр нь үнэхээр жинхэнэ эзэмшигчид харьяалагдаж байгаа эсэхийг баталгаажуулах үүрэг даалгаврыг энгийн болгодог. Сертификат бол мандатны нэг хэлбэр юм. Жишээ нь, таны жолооны үнэмлэх, нийгмийн хамгааллын дэвтэр, эсвэл таны төрсний гэрчилгээ гэх мэт байж болно. Эдгээр нь тус бүрдээ таныг тодорхойлох зарим мэдээллүүд болон таны жинхэнэ байдлыг батласан хэн нэгэнд илэрхийлэх зарим итгэмжлэлүүдтэй байдаг. Зарим сертификатууд, жишээ нь таны пасспорт таныг таних хангалттай нотолгоо болох бөгөөд та түүнийг алга болгохыг хүсэхгүй, таны нэрийг зээлдэн хэн нэгэн ашиглахаас сэргийлэх ёстой. Тоон сертификат гэдэг бол бодит сертификаттай л адил үүрэгтэй өгөгдөл юм. Тоон сертификат нь түлхүүр жинхэнэ, эсвэл хүчинтэй гэдгийг баталгаажуулахад туслах тухайн хүний нийтийн түлхүүрийг агуулсан мэдээлэл юм. Тоон сертификатууд нь нэг хүний түлхүүрийг нөгөөд шилжүүлэхэд саад болох оролдлогыг хийхэд хэрэглэгддэг.
Тоон сертификат нь дараах 3 зүйлээс тогтоно:
- Нийтийн түлхүүр,
- Сертификатны мэдээлэл. - нэр, хэрэглэгчийн дугаар гэх мэт хэрэглэгчийн талаарх танилтын мэдээлэл
- Нэг буюу түүнээс дээш тоон гарын үсгүүд.
Сертификат дээрх тоон гарын үсгийн зорилго нь зарим хүн, эсвэл байгууллагаар гэрчлэгдсэн сертификатны мэдээллийг илэрхийлэх явдал юм. Тоон гарын үсэг нь серификатны жинхэнэ байдлыг бүхэлд нь гэрчилдэггүй, зөвхөн гарын үсэг зурсан танилтын мэдээлэл нийтийн түлхүүртэй хамт яваа, хавсаргагдсан байгаа гэдгийг баталдаг.
Сертификат тараалт[засварлах | кодоор засварлах]
Сертификатууд нь нийтийн түлхүүрээ хэн нэгэнтэй солилцох шаардлага гарсан үед хэрэглэгддэг. Найдвартай байдлаар харилцахыг хүссэн цөөн тооны бүлэг хүмүүсийн хувьд тус бүрийнхээ нийтийн түлхүүрийг агуулсан мэйл, эсвэл диск солилцох нь хялбар байдаг. Энэ нь гар удирдлагаар нийтийн түлхүүр тараах арга бөгөөд зөвхөн тодорхой цэгүүдийн хувьд л хэрэгжих боломжтой. Тухайн цэгээс цааш шаардлагатай хамгаалалт, агуулах, солилцооны механизмаар хангах систем тавих хэрэгтэй, ингэснээрээ хамтран ажиллагчид, бизнесийн түншүүд, эсвэл танихгүй хэн нэгэнтэй ч харилцаж чадна. Эдгээр нь зөвхөн хадгалах зориулалттай хадгалах байгууламжийн хэлбэр болох Сертификат сервер, эсвэл илүү бүтэцлэгдсэн систем болох нэмэлт түлхүүрийн удирдлагын онцлогуудаар хангах Нийтийн түлхүүрийн дэд бүтэцүүдээр биеллээ олдог.
Сертификат сервер[засварлах | кодоор засварлах]
Сертификат сервер нь хэрэглэгчдэд тоон сертификатыг батлах болон сэргээн олж авах боломжийг олгодог өгөгдлийн сан юм. Сертификат сервер нь ихэвчлэн өөрийн нууцлалын бодлогоо хэвээр хадгалахыг хүссэн компанид гүйцэтгэлийн зарим онцлогуудаар хангадаг. Жишээ нь, хадгалахад тодорхой шаардлагад нийцсэн тэдгээр түлхүүрийг л зөвшөөрөх.
Сертификатын форматууд[засварлах | кодоор засварлах]
Тоон сертификат бол үнэн хэрэгтээ нийтийн түлхүүртэйгээ уягдсан танилтын мэдээллийн цуглуулга бөгөөд түүний жинхэнэ байдлыг батлахыг хүссэн итгэмжлэгдсэн 3дагч этгээдээр гарын үсэг зурагддаг. Тоон сертификат нь олон ялгаатай форматуудын нэг нь байж болно. PGP нь 2 төрлийн сертификатны форматыг хүлээн зөвшөөрдөг:
- PGP сертификат
- Х.509 сертификат
PGP сертификатын формат[засварлах | кодоор засварлах]
PGP сертификат нь дараах мэдээллийг агуулдаг (гэхдээ зөвхөн эдгээрээр хязгаарлагдахгүй):
- PGP –ийн хувилбарын дугаар – энэ нь сертификаттай холбоотой түлхүүрийг бүтээхэд PGP-ийн ямар хувилбар ашиглагдсаныг тогтооно.
- Сертификат эзэмшигчийн нийтийн түлхүүр – таны хос түлхүүрийн нийтийн хэсэг нь тухайн түлхүүрийн алгоритмтай хамт: RSA, DHm DSA.
- Сертификат эзэмшигчийн мэдээлэл – энэ нь “танилтын” мэдээлэл болох эзэмшигчийн нэр, хэрэглэгчийн дугаар, зураг гэх мэт.
- Сертификат эзэмшигчийн тоон гарын үсэг – өөрөөр өөрийн гаоын үсэг гэж нэрлэдэг бөгөөд сертификаттай холбоотой нийтийн түлхүүрт харгалзах хувийн түлхүүрийг ашигласан тоон гарын үсэг
- Сертификатын хүчинтэй хугацаа: сертификатыг олгосон огноо, цаг болон сертификат хүчингүй болох огноо, цаг.
- Түлхүүрт зориулсан онцгой эрхтэй тэгш хэмт шифрлэлтийн алгоритм – энэ нь сертификат эзэмшигчийн мэдээллээ шифрлэхийг хүссэн шифрлэлтийн алгоритмыг илэрхийлнэ. Дэмжигддэг алгоритмууд нь CAST, IDEA, эсвэл Triple-DES.
Х.509 сертификатын формат[засварлах | кодоор засварлах]
Х.509 бол өөр нэгэн түгээмэл сертификатын формат юм. Бүх Х.509 сертификатууд ITU-T Х.509 олон улсын стандартыг дагаж мөрддөг, иймээс Х.509 сертификатууд нь Х.509 –ыг дагаж мөрдөх ямар ч аппликейшнд хэрэглэгддэг 1 аппликейшнийг бий болгосон байдаг. Сертификат нь нийтийн түлхүүр болон түлхүүр эзэмшигчийн нэрийг цугт нь хүчин төгөлдөр байхыг шаарддаг. Х.509 сертификат нь хэрэглэгч, эсвэл төхөөрөмж болон тэдгээрийн харгалзах нийтийн түлхүүрийн талаарх мэдээллийг агуулсан талбаруудын стандарт бүрдлийн цуглуулга юм. Х.509 сертификат нь ямар мэдээлэл сертификатад байгааг тогтоон, түүнийг хэрхэн шифрлэснийг (өгөгдлийн форматыг) тодорхойлдог. Бүх Х.509 сертификатууд дараах өгөгдлийг агуулдаг:
- Х.509 –ын хувилбарын дугаар – энэ нь тухайн сертификатанд Х.509 стандартын аль хувилбар хэрэглэгдсэн, дотроо ямар мэдээлэл тодорхойлогдсоныг илэрхийлнэ. Одоогийн хамгийн сүүлийн хувилбар нь 3 байна.
- Сертификат эзэмшигчийн нийтийн түлхүүр – сертификат эзэмшигчийн нийтийн түлхүүр, мөн тухайн түлхүүр аль криптосистемд харьяалагдаж байгааг тодорхойлдог алгоритмыг танигч болон бусад түлхүүрт хамааралтай параметрүүд.
- Сертификатын сериал дугаар – сертификатыг бүтээсэн аж ахуйн нэгж (аппликейшн, эсвэл хүн) нь олгож буй бусад сертификатаас ялгарах цор ганц сериал дугаарыг тухайн сертификатдаа олгох үүрэгтэй. Энэхүү мэдээлэл нь олон тохиолдолд ашиглагддаг; жишээ нь, сертификат хүчингүй болоход түүний сериал дугаар нь Cертификатыг хүчингүй болгосон жагсаалтад байрлуулагддаг.
- Сертификат эзэмшигчийн цор ганц танигч – (өөрөөр тараагдах нэр – онцгой нэр гэж нэрлэдэг). Энэхүү нэр нь Интернетэд цорын ганц байхад зориулагдсан. Энэ нэр нь олон дэд хэсгүүдээс бүрдэх ба дараах байдалтай харагдана
- Сертификатын хүчинтэй байх хугацаа – сертификатын эхлэсэн огноо, цаг болон хэзээ хүчингүй болохыг илэрхийлдэг.
- Сертификат олгогчийн давтагдашгүй нэр – сертификатад гарын үсэг зурсан байгууллагын цор ганц, дахин давтагдахгүй нэр. Энэ нь ер нь сертификат олгогч байдаг. Тухайн сертификатыг ашиглан энэхүү сертификатад гарын үсэг зурж баталгаажуулсан байгууллагад итгэх хэрэгтэй гэсэн утгыг илэрхийлж байгаа юм. ( зарим тохиолдолд толгой буюу хамгийн дээд түвшний сертификат олгогчийн сертификатууд гэх мэт олгогч нь өөрийн сертификатдаа баталгаа олгодог.)
- Олгогчийн тоон гарын үсэг – сертификатыг олгосон байгууллагын хувийн түлхүүр ашигласан гарын үсэг
- Гарын үсгийн алгоритмыг танигч – сертификатад гарын үсэг зурахын тулд сертификат олгогчын ашигласан алгоритмыг тодорхойлно.
Х.509 болон PGP сертификатын дунд их олон ялгаа байдаг ч хамгийн гол ялгаа нь дараах зүйлс байдаг:
- Та өөрийн PGP сертификатыг үүсгэж болно, харин X.509 сертификатыг авахын тулд CA-д хүсэлт гаргаж, тэндээс олгогдоно.
- Х.509 сертификатууд зөвхөн түлхүүр эзэмшигчийн нэрийг л дэмждэг.
- Х.509 сертификатууд түлхүүрийн хүчин төгөлдөр байдлыг гэрчлэхийн тулд нэг л тоон гарын үсгийг дэмждэг.