Kas yra skaitmeniniai sertifikatai: apibrėžimas, tipai ir funkcijos

Sužinokite, kas yra skaitmeniniai sertifikatai: apibrėžimas, tipai (1–3 klasės) ir pagrindinės funkcijos — saugus šifravimas, autentifikacija ir skaitmeniniai parašai.

Skaitmeniniai sertifikatai – tai elektroninės „kredito kortelės“, kuriomis patvirtinami jūsų įgaliojimai atliekant verslo ar kitus sandorius internete. Juos išduoda sertifikavimo įstaiga (CA). Sertifikate paprastai nurodomi jūsų vardas, pavardė, serijos numeris, galiojimo pabaigos data, sertifikato turėtojo viešojo rakto kopija (naudojama pranešimams šifruoti ir skaitmeniniams parašams) ir sertifikatus išduodančios institucijos skaitmeninis parašas, kad gavėjas galėtų patikrinti, ar sertifikatas tikras. Kai kurie skaitmeniniai sertifikatai atitinka X.509 standartą. Skaitmeniniai sertifikatai gali būti saugomi registruose, kad autentiškumą patvirtinantys naudotojai galėtų ieškoti kitų naudotojų viešųjų raktų.

Kas sudaro skaitmeninį sertifikatą?

• Subjekto informacija: vardo ir (ar) organizacijos duomenys, el. paštas ar domenas.
• Viešasis raktas: raktas, naudojamas duomenims užšifruoti arba patikrinti skaitmeninius parašus.
• Išdavimo įstaiga (issuer): CA, kuri išdavė sertifikatą.
• Serijos numeris ir galiojimo laikas: unikalus identifikatorius ir sertifikato galiojimo pradžios/pabaigos datos.
• Algoritmai ir parašas: informacija apie naudojamą parašo algoritmą (pvz., RSA, ECDSA) ir sertifikatą pasirašiusi CA skaitmeninė parašas.
• Plėtiniai (extensions): papildoma informacija, pvz., leidimai, naudojimo paskirtis (Key Usage, Extended Key Usage) ir pan.

Kaip tai veikia (PKI principas)?

Skaitmeniniai sertifikatai veikia viešojo rakto infrastruktūros (PKI) principais. Vartotojas arba sistema naudoja porą raktų – viešąjį ir privačiąjį. CA patikrina, ar prašytojas yra tas, kuo jis teigia esąs, ir išduoda sertifikatą, kuriame viešasis raktas susietas su subjekto tapatybe. Gavėjas gali patikrinti sertifikato autentiškumą, apskaičiuodamas ar patikrinant CA parašą ir tikrindamas sertifikato grandinę iki patikimos šaknies (root CA).

Tipai ir sertifikatų klasės

Be X.509 formato, sertifikatai gali skirtis pagal patikimumo lygį bei išdavimo procesą:

• 1 klasė: sertifikatai, kuriems nėra teisinės galios — patvirtinimo procesas grindžiamas tik galiojančiu el. pašto ID ir nėra išsamiai tikrinamas.
• 2 klasė: reikalauja patikros iš anksto patikrintoje ir patikimoje duomenų bazėje; asmens tapatybė tikrinama per atitinkamus duomenis.
• 3 klasė: aukštesnio pasitikėjimo sertifikatai — dažnai reikalaujama asmeninio atvykimo į registracijos instituciją ir asmens tapatybės įrodymų pateikimo.
• Organizacijos/teisėtos identifikacijos lygiai: dažnai matomi kaip DV (Domain Validated), OV (Organization Validated) ir EV (Extended Validation) sertifikatai – kuo griežtesnė patikra, tuo didesnis pasitikėjimas ir, kai kuriais atvejais, teisinė reikšmė.
• Kvalifikuoti sertifikatai: Europos Sąjungoje pagal eIDAS reglamentą kvalifikuoti sertifikatai suteikia aukštą teisinį statusą skaitmeniniams parašams (atlyginami ranka pasirašytiems dokumentams).

Panaudojimo sritys

• Interneto ryšio šifravimas (TLS/SSL) — svetainių saugumui ir naršyklės autentifikacijai.
• El. pašto šifravimas ir parašai (S/MIME).
• Programinės įrangos ir kodų pasirašymas (code signing).
• Elektroninis dokumentų pasirašymas.
• Vartotojų ir įrenginių autentifikacija (VPN, įmonių tinklai, IoT įrenginiai).

Sertifikatų gyvavimo ciklas ir saugumas

Svarbūs aspektai, užtikrinantys sertifikatų saugumą:

• Privataus rakto apsauga: privatų raktą būtina laikyti saugiai (HSM, saugios kortelės, užšifruoti failai); praradimas ar nutekėjimas kompromituoja saugumą.
• Revokacija: jei sertifikatas kompromituotas, jis turi būti atšauktas per CRL (Certificate Revocation List) arba OCSP (Online Certificate Status Protocol).
• Atnaujinimas ir pakeitimas: sertifikatai turi būti atnaujinami prieš pasibaigiant jų galiojimui; taip pat reikia planuoti raktų keitimą ir perleidimą.
• Diegimo formatai: dažniausiai naudojami PEM, DER, PFX/P12 formatai – reikalingas tinkamas formatavimas ir apsauga diegiant sertifikatus serveriuose ar programose.

Kaip gauti sertifikatą?

• Generuojamas raktų poros – viešasis ir privatus raktas (dažnai vykdoma per CSR – Certificate Signing Request).
• CSR su viešuoju raktu pateikiamas CA.
• CA atlieka reikalingą tapatybės patikrą pagal pasirinktą klasę/lygį.
• Jei patikrinimas sėkmingas, CA išduoda sertifikatą, kurį reikia įdiegti į serverį, el. pašto programą ar kitą sistemą.

Geriausios praktikos

• Naudokite patikimas sertifikavimo institucijas ir reguliariai tikrinkite CA sertifikatų galiojimą.
• Privatus raktas neturi būti bendrinamas; saugokite jį HSM ar saugioje aplinkoje.
• Įdiekite OCSP ar reguliarias CRL patikras, kad būtų greitai atšaukti kompromituoti sertifikatai.
• Planuokite sertifikatų atnaujinimus iš anksto, kad išvengtumėte paslaugų nutrūkimų.

Skaitmeniniai sertifikatai yra kertinis saugios skaitmeninės komunikacijos elementas. Teisingai parinkus sertifikato tipą ir užtikrinus privatų rakto saugumą, jie leidžia patikimai autentifikuoti šalių tapatybę, užtikrinti duomenų konfidencialumą ir duomenų vientisumą skaitmeninėje erdvėje.

Klausimai ir atsakymai

K: Kas yra skaitmeniniai sertifikatai?

K: Kas išduoda skaitmeninius sertifikatus?

K: Kokia informacija pateikiama skaitmeniniame sertifikate?

K: Kas yra X.509?

K: Kokios yra skaitmeninių sertifikatų klasės?

K: Kas yra 1 klasės skaitmeninis sertifikatas?

K: Kas yra 3 klasės skaitmeninis sertifikatas?

Paieška pagal raidę