7.2.3. Аутентификация на основе сертификатов

Когда число пользователей в сети измеряется миллионами, процедура предварительной регистрации пользователей, связанная с назначением и хранением паролей пользователей, становится крайне громоздкой и практически плохо реализуемой. В таких условиях аутентификация на основе цифровых сертификатов служит рациональной альтернативой применению паролей.

При использовании цифровых сертификатов компьютерная сеть, которая дает доступ к своим ресурсам, не хранит никакой информации о своих пользователях. Эту информацию пользователи предоставляют сами в своих запросах – сертификатах. Такое решение масштабируется гораздо легче, чем вариант с использованием паролей централизованной базой данных. При этом задача хранения секретной информации, в частности закрытых ключей, возлагается теперь на самих пользователей.

Цифровые сертификаты, удостоверяющие личность пользователя, выдаются по запросам пользователей специальными уполномоченными организациями – центрами сертификации при выполнении определенных условий. Следует отметить, что сама процедура получения сертификата также включает этап проверки подлинности (то есть аутентификации) пользователя. Здесь в качестве проверяющей стороны выступает сертифицирующая организация.

Для получения сертификата клиент должен представить в центр сертификации сведения, удостоверяющие его личность, и свой открытый ключ. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация после проверки доказательств подлинности пользователя помещает свою цифровую подпись в файл, содержащий открытый ключ и сведения о пользователе, и выдает ему сертификат, подтверждая факт принадлежности данного открытого ключа конкретному лицу.

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

· открытый ключ владельца данного сертификата;

· сведения о владельце сертификата, например имя, электронный адрес, наименование организации, в которой работает данный сотрудник и т.п.;

· наименование сертифицирующей организации, выдавшей этот сертификат;

· электронная подпись сертифицирующей организации – зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате.

Сертификат является средством аутентификации пользователя при его обращении к сетевым ресурсам. При этом роль проверяющей стороны играют серверы аутентификации корпоративной сети. Сертификаты можно использовать не только для аутентификации, но и для предоставления определенных прав доступа. Для этого в сертификат вводятся дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей.

Следует особо отметить тесную связь открытых ключей с сертификатами. Сертификат является не только удостоверением личности, но и удостоверением принадлежности открытого ключа. Цифровой сертификат устанавливает и гарантирует соответствие между открытым ключом и его владельцем. Это предотвращает угрозу подмены открытого ключа.

Если абонент получает от партнера по информационному обмену открытый ключ в составе сертификата, то он может проверить цифровую подпись центра сертификации на этом сертификате с помощью открытого ключа данного центром сертификации и убедиться, что полученный открытый ключ принадлежит именно тому пользователю, адрес и другие сведения о котором содержатся в данном сертификате. При использовании сертификатов исчезает необходимость хранить на серверах корпораций списки пользователей с их паролями. На сервере достаточно иметь список имен и открытых ключей сертифицирующих организаций.

Применение сертификатов основано на предположении, что сертифицирующих организаций относительно немного, и их открытые ключи могут быть доступны всем заинтересованным лицам и организациям (например, с помощью публикаций в журналах).

При реализации процесса аутентификации на основе сертификатов исключительно важно решение вопроса о том, кто будет выполнять функции сертифицирующей организации. Вполне естественным является решение, при котором задачу обеспечения своих сотрудников сертификатами берет на себя само предприятие. На предприятии хранится достаточно много сведений о сотрудниках, а следовательно, оно может взять на себя задачу подтверждения их личности. Это упрощает процедуру первичной аутентификации при выдаче сертификата. Предприятия могут использовать существующие программные продукты, обеспечивающие автоматизацию процессов генерации, выдачи и обслуживания сертификатов. Например, компания Netscape Communications предлагает свои серверы предприятиям для выпуска ими собственных сертификатов.

Альтернативное решение проблемы выполнения функций сертифицирующей организации – привлечение на коммерческой основе независимых центров по выдаче сертификатов. Такие услуги предлагает, в частности, сертифицирующий центр компании Verisign. Ее сертификаты удовлетворяют требованиям международного стандарта Х.509 и используются в ряде продуктов защиты данных, например в протоколе защищенного канала SSL.