- •5. Криптографическая защита передаваемых данных с помощью программной системы pgp Введение
- •5.1.Стандарт OpenPgp
- •5.2.Система открытого распределения ключей
- •5.3.Электронная цифровая подпись
- •5.4. Цифровая подпись Эль-Гамаля
- •5.5. Состав системы pgp 8.0
- •5.6. Генерация асимметричных ключей
- •5.7.Порядок генерации ключей в системе pgp
- •Внимание: данную услугу системы необходимо проигнорировать, данный флажок не устанавливать! 5.8.Обмен открытыми ключами
- •5.9.Передача открытого ключа файлом
- •5.10. Пересылка открытого ключа по электронной почте
- •5.11.Обмен открытыми ключами через сервер ключей
- •5.12.Модель заверения и проверки подлинности открытых ключей
- •5.13. Формирование цифровой подписи
- •5.14. Добавление и изменение владельцев асимметричных ключей
- •5.15. Отзыв и удаление ключей, а также наложение запрета на их использование
- •5.16. Защита файлов ключей
- •5.17. Криптографическая защита файлов и сообщений
- •5.18. Шифрование или одновременно шифрование и подписывание файлов
- •5.19. Подписывание файлов
- •5.20. Расшифровывание файлов и проверка их цифровых подписей
- •5.21. Криптографическая защита сообщений электронной почты
- •Шифрование и подписывание отправляемых сообщений через буфер обмена
- •Дешифровывание и проверка подписи полученных сообщений через буфер обмена
- •5.22.Отправка и получение защищенного файла вместе с почтовым сообщением
- •5.23. Гарантированное удаление файлов
5.12.Модель заверения и проверки подлинности открытых ключей
Пользователь может проверить подлинность полученных открытых ключей двумя способами:
путем проверки их цифровых подписей, сформированных доверительными лицами или органами;
на основе сверки, например, по телефону с владельцами характеристик полученных от них открытых ключей.
Модель заверения и проверки подлинности открытых ключей, реализованная в системе PGP, позволяет пользователям выступать в качестве доверителя для другого пользователя путем подписи открытых ключей друг друга и задания уровней доверия друг к другу. На основе установленных уровней доверия к пользователям, чьи подписи стоят под открытым ключом, и уровней действительности их ключей система PGP вычисляет уровень действительности подписанного открытого ключа.
Система PGP, начиная с пятой версии, поддерживает три уровня доверия к владельцу открытого ключа:
полное доверие (Complete);
частичное доверие (Marginal);
отсутствие доверия (Untrusted).
Для возможности задания уровней доверия к владельцу открытого ключа его ключ должен быть действительным, т. е. он должен быть подписан хотя бы одним пользователем, владеющим действительным ключом, и для этого пользователя должно быть задано полное или частичное доверие.
В соответствии с трехуровневой шкалой оценки действительности, поддерживаемой системой PGP, открытый ключ считается действительным, если выполняется одно из двух условий:
имеется хотя бы одна его подпись, сформированная пользователем, по отношению к которому определено полное доверие, и ключ проверки этой подписи является действительным;
имеется хотя бы две его подписи, cформированные пользователями, по отношению к которым определено частичное доверие, и ключи проверки этих подписей являются действительными.
Если же ни одно из данных условий не выполняется, но у открытого ключа имеется одна подпись, сформированная пользователем, по отношению к которому определено частичное доверие, и ключ проверки этой подписи является действительным, то этот подписанный ключ считается частично действительным. В случае, когда все подписи открытого ключа сформированы пользователями, к которым отсутствует доверие, или обладающими недействительными ключами, то этот открытый ключ считается недействительным.
В системе PGP после генерации каждый пары ключей открытый ключ автоматически подписывается по соответствующему ему закрытому, что предотвращает подмену или искажение в используемом файле ключей сгенерированного открытого ключа. Однако на подлинность (уровень действительности) полученного открытого ключа подпись его владельца не оказывает влияния, т.к. любой злоумышленник может сгенерировать пару ключей и подписать открытый ключ этой пары ее же закрытым ключом, выдав затем фальшивый открытый ключ за подлинный.
Пользователю, выполняющему генерацию асимметричных ключей, по умолчанию присваивается абсолютный уровень доверия, а сгенерированным ключам – абсолютный уровень действительности, т.к. предполагается, что в этом случае подлинность локальных (не импортированных) ключей гарантирована. Абсолютное доверие и абсолютная действительность не являются еще одним уровнем в используемой шкале оценки. Они соответствуют полному доверию и полной действительности и отражают тот факт, что эти ключи сгенерированы самим пользователем.
В главном окне программы PGPkeys уровни действительности ключей отражаются в столбце Validity (действительность), а уровни доверия к их владельцам – в столбце Trust (доверие). При этом в столбце Validity
1. серая точка указывает на недействительный ключ;
2. зеленая точка - на действительный ключ;
3. зеленая точка с человечком – на абсолютную действительность ключа.
В столбце Trust уровень доверия к владельцам соответствующих открытых ключей обозначается следующими знаками:
пустой прямоугольник указывает на отсутствие доверия;
наполовину заполненный – на частичное доверие;
заполненный прямоугольник – на полное доверие;
заполненный прямоугольник с наклонными полосками – на абсолютное доверие.
В столбцах Size (размер) и Description (описание) приводятся размер ключей и их краткое описание.
Проверка цифровых подписей открытых ключей в системе PGP осуществляется автоматически по соответствующим открытым ключам перед каждым их использованием и импортировании. Просмотреть информацию о списке идентификаторов пользователей и электронных адресов, связанных с каким-либо открытым ключом, а также информацию о заверителях этого ключа (об имеющихся его цифровых подписях) можно в главном окне программы PGPkeys одним из следующих способов:
выделить щелчком соответствующую запись со значком ключа и выдать команду Edit/Expand Selection (расширить выбор);
выполнить двойной щелчок на соответствующей записи со значком ключа и затем двойными щелчками раскрыть появившиеся записи со значком конверта.
В результате соответствующая запись со значком ключа будет раскрыта как папка. Записи со значком конверта указывают на идентификаторы и электронные адреса владельцев ключа. Изначально владельцем пары асимметричных ключей является пользователь, создавший эту пару. Впоследствии к паре асимметричных ключей могут быть добавлены другие владельцы. Открытый ключ для каждого его владельца может подписываться отдельно. Имеющиеся цифровые подписи открытого ключа для каждого владельца обозначаются значками в виде карандаша и приводятся в списке, подчиненном записи, соответствующей этому владельцу.
Закрытие раскрытой записи со значком ключа выполняется двойным щелчком по этой записи. Такой же эффект будет достигнут, если эту запись выделить щелчком и выдать команду Edit/Collapse Selection (закрыть выбор). При последовательной выдаче из меню Edit команд Select All и Collapse Selection закроются все раскрытые записи ключей.
Для сверки с владельцами характеристик, полученных от них открытых ключей, необходимо получателям вычислить текущие характеристики, а владельцам – эталонные характеристики открытых ключей. Текущие характеристики определяются по полученным открытым ключам, а эталонные характеристики – по открытым ключам, имеющимся у владельцев. Характеристику каждого открытого ключа PGP вычисляет с помощью стойкой хэш-функции. Для определения такой характеристики достаточно просмотреть детальные атрибуты ключа.