Цифровая подпись. Цифровая подпись представляет собой зашифрованный хэш, который добавляется к документу. Принцип шифрования с цифровой подписью поясняет рисунок 3.8.

Рис. 3.8. Проверка подлинности сообщения с цифровой подписью

Она может использоваться для аутентификации отправителя и целостности документа. Цифровые подписи можно создавать с помощью сочетания хэш-функций и криптографии общих ключей.

Цифровой сертификат. Цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. Общий формат широко распространенного сертификата X.509 включает следующие элементы:

1. версии;

2. серийный номер сертификата;

3. эмитент информации об алгоритме;

4. эмитент сертификата;

5. даты начала и окончания действия сертификата;

6. информацию об алгоритме общего ключа субъекта сертификата;

7. подпись эмитирующей организации.

Эмитирующая организация, выдающая сертификат, или центр сертификации (Certification Authority - CA), является надежной третьей стороной, которой вы полностью доверяете. Передача общего ключа происходит следующим образом (рис. 3.9):

1. отправитель создает сертификат, в который включает общий ключ;

2. получатель запрашивает у центра сертификации сертификат отправителя;

3. центр сертификации подписывает сертификат отправителя;

4. центр сертификации посылает подписанный сертификат получателю;

5. получатель проверяет подпись центра сертификации и извлекает общий ключ отправителя.

Рис. 3.9. Передача ключа с цифровым сертификатом

Для реализации этой схемы необходима надежная система распространения общего ключа CA среди пользователей. Для этого создана инфраструктура открытых ключей PKI (Public Key Infrastructure). Использование PKI позволяет упростить управление безопасностью путем автоматизации, усилить режим безопасности благодаря значительной сложности компрометации цифровых сертификатов, усовершенствовать и интегрировать управление защитой, усилить контроль защищенного доступа к бизнес-ресурсам. PKI представляет собой иерархическую архитектуру управления атрибутами безопасности пользователей, участвующих в защищенном обмене информацией. Помимо людей в PKI также могут участвовать элементы инфраструктуры сети - межсетевые экраны, концентраторы виртуальных частных сетей, маршрутизаторы, защищенные серверы приложений и другие программно-аппаратные комплексы, нуждающиеся в проверке подлинности и шифровании. Каждый субъект PKI имеет цифровой сертификат, эмитируемый, отзываемый и подписанный органом сертификации. Сертификат представляет собой упорядоченную структуру данных, связывающую общий ключ с его обладателем, и содержит набор элементов, используемых субъектами при установлении защищенных соединений.