Все про Digital ID
Что такое Digital ID
Digital ID который иногда называют цифровым сертификатом представляет собой файл который идентифицирует Вас как конкретного человека. Некоторые программные приложения используют этот файл чтобы подтвердить Вашу личность для другого человека или компьютера. Вот два общих примера:
- Банк должен быть уверен что именно та персона которая имеет полномочия использует онлайн-банкинг. Так же как водительские права или паспорт, Digital ID подтверждает-идентифицирует Вас в онлайн- банкинге.
- Когда Вы отправляете важное электронное письмо, email -приложение может использовать ваш Digital ID чтоб подписать email сообщение электронной подписью. Цифровая подпись выполняет две функции: позволяет получателю быть уверенным что это письмо от Вас, и сообщает о том что письмо не было изменено или подменено с момента отправки до получения его.
Digital ID обычно содержит следующую информацию:
- Ваш публичный ключ (public key)
- Ваше имя и email адрес
- Дату истечения срока действия публичного ключа
- Название компании (сертификационного центра CA) которая выдала Digital ID
- Серийный номер Digital ID
- Цифровую подпись сертификационного центра CA
Для чего можно использовать Digital ID
Программные приложения, сети и компьютеры могут использовать Digital ID в таких случаях:
- Шифрование, как путь защиты информации перед отправкой его с одного компьютера на другой. Обычно приложения электронной почты используют цифровой идентификатор, который
принадлежит лицу, получающему зашифрованные сообщения посредством электронной почты. Вам чтобі отправить кому-то зашифрованное сообщение необходимо иметь публичный ключ.
- Аутентификация клиента. Термин, используемый для описания того как вы (клиент) доказываете свою идентичность кому-то или другому компьютеру. Например, онлайн- банки должны убедиться,
Вы действительно конкретный клиент данного банковского аккаунта. Когда Вы персонально посещаете банк это могут быть Ваши водительские права или паспорт. В случае онлайн-подключения к банку , Ваше программное приложение предоставляет Ваш цифровой ID. Некоторые веб-сайты могут попросить вас представить свой ID прежде, чем позволить Вам просматривать веб-страницы, которые скрыты от других, таких как страниц для людей, которые подписались на конкретной услуги на веб-сайте.
- Цифровая подпись. Цифровой аналог "ручной" подписи, показывающий что лицо согласно с документом, который подписывает. На самом деле цифровая подпись обеспечивает более высокую степень безопасности, чем собственноручная подпись, поскольку цифровая подпись удостоверяет что сообщение исходит от конкретного лица и подписанное сообщение не было случайно или преднамеренно изменено. Кроме того, подписав документ, человек не сможет отказаться от подписи позже под предлогом подделки подписи.
Как получить Digital ID
При выборе Digital ID очень важно правильно выбрать сертификационный центр, который будет удостоверять Вашу личность или организацию, к этому стоит отнестись серьезно так как доверие к Вам будет напрямую зависеть от доверия поручителю которым в данном случае является Сертификационный центр (СА). К примеру большинство людей доверяет таким документам как паспорт и водительское удостоверение, так как доверяют выдающему органу, в данном случае государству. Но если взять, к примеру, студенческий билет или ученическое удостоверение, доверия к нему как к идентифицирующему документу будет меньше. То же самое относится к Digital ID и удостоверяющим центрам. Выбирайте престижный доверенный центр для обеспечения доверия Вашему ID.
Вы можете заказывать каждый Digital ID отдельно или использовать Digital ID Center для управление большим количеством ID.
Компания может выпускать ID для своих сотрудников, идентифицируя их принадлежность к организации.
Что такое Digital ID key pair
При обмене данными с другим человеком (или компьютером) Вам надо обеспечить надежную процедуру передачи данных, чтобы никто не смог перехватить и считать их. На сегодняшнее время, шифрование производится через пару ключей key pair которая включает в себя приватный ключ private key и открытый ключ public key. Ключи используются по аналогии с ключами в замке, за исключением того что в паре один ключ используется чтобы закрывать замок, а другой чтобы его открыть. Программное приложении использует один ключ чтобы зашифровать документ. Получатель, чтобы расшифровать документ, должен использовать соответствующий ключ. Проблема возникает в том как отправитель Вам можете передать этот расшифровывающий ключ, не позволив получить его кому-то другому. Решение состоит в способе использования ключей. Когда Вы запрашиваете Digital ID Ваш веб-браузер создает также и приватный (закрытый) ключ, который может использоваться только с запрошенным Вами ID, и открытый, который стает составляющей частью Digital ID. Веб-браузер может запросить у Вас пароль для доступа к закрытому ключу. Очень важно использовать надежный пароль, который знаете только Вы, это не должна быть дата рождения или легкоугадываемое слово.
После того как Вы получили и установили Digital ID, Вы передаете его тем кому необходимо, он содержит публичный (открытый) ключ. Когда кто-то отправляет вам зашифрованное сообщение оно шифруется с помощью открытого письма и Вы единственный можете его расшифровать так как имеете соответствующий приватный ключ. Аналогичным образом, когда Вы хотите послать кому-то зашифрованное сообщение, сначала необходимо получить открытый публичный ключ. Это можно сделать либо путем поиска их цифрового ID в каталоге или попросить их отправить вам подписанное email сообщение, содержащее их Digital ID и открытый (публичный) ключ. Тогда ваше email приложение может автоматически сохранить цифровое удостоверение Digital ID до того времени когда Вам надо будет его использовать.
Для чего нужен Digital ID
Виртуальные торговые центры, электронные банковские операции и другие электронные услуги все более становятся обычным делом. Тем не менее, ваши переживания по поводу конфиденциальности и безопасности могут встать на пути к использованию нового современных преимуществ бизнеса.
Ваш работодатель может использовать новую сеть в которой необходимо иметь Digital ID чтобы запустить приложение для выполнение работы. Вы будете использовать эту технологию в своей работе и Вам придется быстро научиться использовать цифровой идентификатор.
Digital ID используется веб-сайтами и сетевыми приложениями для шифрования данных, пересылаемых между компьютерами. Например, биржевой маклер должен использовать сайт который шифрует данные. Даже если на сайте будут запрашиваться логин и пароль для входа, но такие данные легко могут перехватываться и они не идентифицируют посетителя как личность. То есть никаких дополнительных гарантий что кто-то не может выдавать себя за Вас и получить доступ к счетами или другой ценой частной информации.
Digital ID решает эти проблемы, используя электронные средства проверки личности, и обеспечивает идентичность всех сторон, участвующих в сделке. При этом выполняется функция, именуемая неподдельность, которая исключает возможность отказа человека того что действие было выполнено именно им.
Например, когда Вы оплачиваете покупку кредитной картой, Вы должны подписать квитанцию, разрешающую платеж.Вы можете доказать что кто-то украл Вашу кредитку. сравнивая Вашу подпись с подписью на чеке. Функция неподдельность обеспечивает Ваше "разрешение" автоматически кога вы отправляете свой Digital ID.
Если кто-то умудрится украсть Ваш Digital ID, о не сможет его использовать не зная пароля и личного приватного ключа private key. Поэтому чрезвычайно важно сохранять Ваш пароль в секрете.
Как использовать Digital ID
После получения Digital ID из центра Digital ID Center Вам надо его установить (инсталлировать) в программное приложение, которое Вы используете. Как правило его устанавливают в веб-браузер или в почтовую программу. При правильной установке приложения выполняют всю основную работу за Вас, так что использование Digital ID легкое и удобное.
Способ использования Digital ID зависит от Ваших целей:
- При использовании сайтов или веб- приложений, требующих Digital ID Вам надо ввести пароль к вашему приватному (закрытому) ключу чтобы подтвердить что Вы хотите чтобы приложение отправило Вам Digital ID. Приложение или браузер позаботится об отправке Вашего ID (конечно, сам процесс напрямую зависит от типа используемого приложения).
- При отправке зашифрованного (защищаемого) email, Вам надо получить Digital ID от людей с которыми Вы общаетесь, и тогда Вы сможете настроить приложение электронной почты таким образом чтобы Ваши сообщения для этих людей шифровались. После настройки (конфигурации) сообщения отправляемые людям будут передаваться в зашифрованном виде. Некоторые email приложения будут требовать от Вас подтверждения желания шифрования сообщения. Функциональность варьируется в зависимости от почтового клиента (программы) который Вы используете.
- При цифровой подписи сообщений, Ваша почтовая программа (email application) добавляется Ваш персональный Digital ID идентификатор в email сообщение.
Насколько безопасны Digital ID
Digital ID абсолютно безопасны в использовании при условии строгой сохранности вами пароля (password) и закрытого ключа (private key). Ваш пароль - это ключ к безопасности. Если Вы единственный владелец ключа - Вы в абсолютной безопасности, делясь с другими ключом Вы снижаете уровень безопасности.
Если кто-то получает Ваш Digital ID, он не может использовать его без соответствующего закрытого ключа и пароля. Перед тем как отправить Digital ID браузер потребует ввести пароль, который необходимо ввести прежде чем Digital ID будет использован.
Digital ID также может иметь разную "силу". Наименьшая "сила" называется 40-бит, которая означает длину ключа для ID, наивысшая - 128-бит. Если ключ 40 бит может быть расшифрован в течении 4-х часов, то для взлома ключа 128 бит может понадобиться вечность.
Как защитить свой Digital ID
Для защиты Digital ID
- Запомните свои пароли и не делитесь ими ни с кем
- Защитите Ваш компьютер от несанкционированного доступа
- Контролируйте доступ к программным продуктам и ОС
- Примите меры для защиты компьютера от вирусов, которые могут повредить Ваш закрытый ключ
Для защиты личного ключа private key:
- При оформлении Digital ID веб-браузер создает закрытый ключ private key, который затем хранится на жестком диске компьютера, и Вы можете контролироваться доступ к нему. Когда Вы генерируете private key , программного обеспечение которое Вы используете (например, браузер) возможно запросит у Вас пароль. Этот пароль защищает доступ к Вашему приватному ключу. При использовании Microsoft Internet Explorer приватный ключ защищается паролем на Windows.
- Третья сторона может получить доступ к приватному ключу только имея доступ к файлу где хранится Ваш ключ и зная пароль. Некоторые программные приложения имеют опцию "без пароля", выбрав которую Вы должны быть абсолютно уверены что никто ни в настоящее ни в будущее время не будет иметь доступ к Вашему компьютеру.
В общем, намного проще и правильней использовать пароль для защиты ключа. Использование беспарольной опции аналогично брошенной на столе предварительно подписанной чековой книжки.
Вы несете полную ответственность за защиту Вашего секретного ключа private key . Любой, получивший Ваш ключ, может подделать Вашу цифровую подпись и предпринимать действия от Вашего имени.
Как работает шифрование
Шифрование - это процесс преобразования данных. Существует много различных способов шифрования и расшифровки информации. Этот раздел предполагает краткое описание происходящего при это процессе без углубления в технические сложные детали.
В интернет есть два основных способа применения шифрования. Первый происходит, когда пользователь посещает "безопасный ресурс", например интернет-магазин, интернет- банкинг и т.п. Этот вид называется серверным шифрованием, поскольку он использует Digital ID сервера (компьютера), который запускает веб-сайт. Второй вид шифрования используется когда вы отправляете или получаете зашифрованную электронную почту. В обоих случаях процесс шифрования включает в себя обмен ключами.
При шифровании информации сам процесс шифрования осуществляется с помощью открытого или закрытого ключа, а затем расшифровывается соответствующим закрытым или открытым ключом. Можно представить это как замок который закрывается одним ключом, а открывается другим ключом.
Например, когда вы посещаете защищенный веб-сайт, Ваш компьютер получает публичный ключ веб-сайта. Когда Ваш компьютер отправляет информацию на этот веб-сайт, он шифрует ее используя публичный ключ веб-сайта.Аналогично происходит процесс при защите электронной почты. Прежде чем отправить кому-то зашифрованное сообщение, Вам нужно иметь его Digital ID , который содержит публичный ключ. Ваше приложение электронной почты использует его публичный ключ для шифрования сообщения. С этого момента только приватным ключом получателя письма можно будет расшифровать сообщение. Таким образом Вы можете распостранять Digital ID (и его публичный ключ) людям, которым желаете, без ущерба для Вашего Digital ID. В то же время Вам надо беречь Ваш секретный закрытый ключ, так как он используется для расшифровки сообщений, присланных Вам.
Существует еще одна очень важная деталь, представляющая интерес - это доверие. Практически Digital ID могут создаваться различными компаниями (сертификационными центрами СА). Но почтовые приложения как правило сконфигурированы таким образом, что доверяют Digital ID от наиболее известных центров. Если кто-то присылает Вам Digital ID (через email или посещенный Вами веб-сайт) который выпущен центром СА, который не является доверенным для Вашего приложения Вы получите предупреждающее сообщение и вопрос о том желаете ли Вы доверять новому центру сертификации СА.
Больше информации о доверии к СА далее в разделах о PKI и приложениях использующих Digital ID.
Что такое инфраструктура закрытого ключа PKI (public key infrastructure)
PKI описывает систему, которая использует публичный ключ public key и Digital ID для обеспечения безопасности системы и подтвердить идентичность пользователей. К примеру, компания может использовать PKI чтобы контролировать доступ к компьютерной сети предприятия. В будущем, компании смогут использовать PKI для контроля доступа ко всему, от входа в здание до закупок товаров. PKI позволяет физическим лицам и компаниям вести закрытый бизнес. Сотрудники могут отправлять электронную почту через интернет, не беспокоясь о том что конкуренты или недоброжелатели могут перехватить сообщение. Компании могут создавать закрытые сайты, отправляя при это информацию только известным пользователям.
PKI основывается на системе доверия, где две стороны (это могут быть люди или компьютеры) взаимно доверяют сертификационному центру CA, который проверяет и подтверждает идентичность обоих сторон. Например, большинство людей больше доверяет информации паспорта, выданного государством, которое выступает доверенным центром, чем информации указанной в удостоверении участника кого-нибудь неизвестного сообщества. То же самое справедливо для Digital ID разных сертификационных центров.
В системе PKI обе стороны сделки (интернет -банкинг и его пользователи или работодатель и его сотрудники) соглашаются доверять сертификационному центру CA, который создает Digital ID. Обычно, программное обеспечение, которое использует Ваш Digital ID имеет определенный механизм для проверки доверия СА. К примеру, веб-браузер содержит список доверенных центров сертификации CA. Когда браузеру предоставляется Digital ID он определяется сертификационный центр CA, который выпустил данный Digital ID Если этот центр входит в список доверенных центров CA браузер принимает этот Digital ID и отображает Вам веб-страницу. Однако, если сертификационный центр не входит в список доверенных браузер предупредит Вас об этом и спросит о том согласны ли Вы доверять этому СА. Обычно браузер предоставляет варианты - доверять временно, постоянно или не доверять вообще. Как пользователь, Вы можете управлять параметрами доверия сертификационным центрам, но управление проводится уже в самом программном обеспечении под Вашу ответственность.
Как проводится аутентификация (проверка подлинности) клиента
Аутентификация клиента описывает процесс подтверждения компьютером личности. Аутентификация клиента не ограничивается только проверкой веб-сайтом, это могут быть и другие приложения, но процесс как правило аналогичный. При доступе к веб-сайту, требующему Digital ID , веб -браузер предоставляет сайту Ваш идентификатор Digital ID. Веб-сайт просматривает информацию в Вашем ID чтобы определить ваши права. (Digital ID которые используются для аутентификации клиент иногда называют клиентскими сертификатами для веб-браузера). После этого как правило Вы видите диалоговое окно с запросом ввода пароля (пароль для Вашего приватного ключа). Если пароль корректный, браузер отправляет Digital ID на веб-сайт. Очень важно хранить в секрете Ваш пароль. Если кто-то узнает Ваш пароль к Digital ID и получит доступ к Вашему компьютеру он может легко получить доступ к Вашей личной информации и выдавать себя за Вас в интернете.
как только веб-сайт получается ваш идентификатор Digital ID он проверяет его действительность, срок действия и сертификационный центр, выдавший идентификатор. Если веб-сайт не доверяет данному СА, Вам может быть отказано в доступе. Поэтому очень важно пользоваться идентификаторами Digital ID авторитетных сертификационных центров.
Веб-сайт можт использовать любую информацию в Digital ID при определении Ваших прав.
Digital ID содержит следующую информацию о Вас:
- Ваш публичный (открытый) ключ
- Ваше имя
- Срок действия открытого публичного ключа
- название сертификационного центра СА, выдавшего идентификатор
- Серийный номер Digital ID
- Цифровая подпись сертификационного центра
- Другая информация, необходимая СА
Если аутентификация (проверка) личности прошла успешно Вы получаете доступ к веб-сайту. Некоторые сайты или сетевые приложения используют информацию в Вашем Digital ID для настройки отображаемой Вам информации. Это настройки называются контролем доступа (не путайте с управлением доступа дл клиентских приложений).
Аутентификация клиента это простой подтверждение Вашей идентификации.
Как работает цифровая подпись
Когда Вы используете приложение для цифровой подписи сообщения, Вы в основном присоединяете публичную часть Вашего идентификатора Digital ID к сообщению вместе с другой информацией, которая обеспечивает целостность Вашей электронной почты. Еще до того как сообщение и идентификатор будут отправлены сообщение проходит через процесс кодирования, называемый алгоритмом, где сообщение, которое Вы отправляете используется для математического генерирования набора символов (букв и цифр), которые могут быть созданы тока по Вашему сообщению. Этот набор символов называется дайджест сообщения (digest). Hash алгоритм работает очень быстро в одном направлении и очень труден в обратном. Ваше приложение очень быстро, используя хэш-алгоритм, создает дайджест из вашего сообщения, но чтобы раскодировать его потребуется много лет. После создания дайджеста, приложение использует закрытый приватный ключ для его шифрования. Это очень важно. Ведь если Вы отправляете только дайджест, кто-то может просто подменить его и затем отправить от Вашего имени.
Ваше приложение электронной почты отправляет вместе с Digital ID и зашифрованное дайджест сообщение в виде вложения. Обратите внимания что ничто в email сообщении не шифруется. Так что если кто-то захочет он может прочесть содержимое сообщения. Когда кто-то получает Ваше email сообщение, его приложение использует идентификатор Digital ID (публичный ключ) чтобы декодировать дайджест сообщения. Затем программного приложение получателя запускает текст Вашего сообщения через тот же хэш -алгоритм, который проводился у Вас, и сравнивает результаты дайджестов сообщений. Если они не отличаются значит сообщение не было изменено с момента его отправки.
Как работает защита email почты
Вы можете использовать защиту электронной почты для следующего:
- Цифровая подпись сообщения. Получатель может быть уверен что сообщение пришло именно от Вас, а не от самозванца. Подписанное сообщение также обеспечивает целостность, это гарантирует что содержимое не было подделано или подменено.
- Шифрование сообщения. Никто, даже перехватив сообщение, когда оно находится в пути, не сможет его прочитать.
Большинство приложений позволяют проводить настройку, благодаря который Вы можете подписывать и шифровать Ваши сообщения автоматически каждый раз или делать это вручную в нужных случаях.
Какие программные приложения используют Digital ID
Digital ID поддерживаются Netscape Navigator 3.0 и выше (на Win 95, NT, Sun Solaris 2.5x, 2.6, SGI Irix 6.x and HP-UX 10.20) и Microsoft Internet Explorer 3.02 with authenticode 2.0 update и выше (на Win95 and Win NT 3.5.x or later on x86 platform.)
Для подписи и шифрования e-mail, Digital IDs поддерживаются Netscape Messenger, Microsoft Outlook и Outlook Express, и некоторыми другими S/MIME (Secure Multipurpose Internet Mail Extensions) e-mail приложениями, такими как Deming, Frontier, Pre-mail, Opensoft, Connectsoft, и Eudora.
Последние Web browser пакеты (в частности Netscape Communicator и Microsoft Internet Explorer), имеют встроенные e-mail приложения (Netscape Messenger и Microsoft Outlook Express), так что идентификаторы Digital ID полученные через эти пакеты могут использоваться и для email и для Web. Если Вы используете другие e-mail приложения Вам надо получить Digital ID через e-mail продавца.
Как управлять ключами для Digital ID
Пользователи должны иметь возможность получить Ваш идентификатор Digital ID чтобы отправлять Вам зашифрованные письма. Кроме того Вам необходимо каким то образом найти их идентификатор Digital ID. Вы можете отправить электронное письмо подписанное цифровой подписью людям, которыми хотите обмениваться зашифрованными сообщениями. Или же они могут отправить Вам подписанное электронное письмо чтобы Вы могли получить их Digital ID. Вы та же можете просмотреть Digital ID в различных специализированных каталогах. Digital ID Center имеет функцию поиска, которая позволяет находить идентификаторы, принадлежащие людям и организациям.
Окончание срока действия ключа
В интересах безопасности, каждый ключ должен иметь срок действия, по истечении которого он становится недействительным. Дата истечения срока действия хранится в открытом публично ключе Digital ID. Каждый браузер или e- приложение проверяет действительность Digital ID проверяя дату его выдачи и окончания срока действия. Это значит что по истечении срока действия ключа, подпись теряет силу. Вам надо обновить Digital ID, обратившись в центр, где Вы его получали.
Что такое алгоритм хэширования
Хэш (hash) функция -математическое преобразование текста (например email сообщения) в код, называемой дайджест сообщения (message digest). Примерами наиболее известных хэш-функций являются MD$, MD5 и SHS.
Хэш-функция, которая используется для цифровой аутентификации должна иметь определенные параметры, которые позволяют использовать ее в криптографических целях. В частности такие требования:
- По хэш текста не возможно получить исходное значение. То есть по дайджесту сообщения не возможно определить само сообщение.
- Не должно быть два различных сообщения с одним и тем же значением хеш.
Что такое дайджест сообщения
Message digest - дайджест сообщения- результат обработки текста хеш- алгоритмом. Дайджет это краткое представление сообщения или документа. В образном представлении это "цифровой отпечаток" сообщения. Дайджест сообщения используется для создания цифровой подписи и является уникальным для документа. Дайджест сообщения не раскрывает содержание документа. То есть, имеят дайджест, Вы не можете из него воссоздать оригинал сообщения. MD2, MD4, MD5 (MD абрревиатура от message digest) шировок используют хэш-функции, созданные специально в целях криптографии, формируют надежный 128- битный дайджест.
Купить цифровой идентификатор Digital ID