Открыть сервис

Инфраструктура управления открытыми ключами

Инфраструктура управления открытыми ключами (ИУОК; англ. Public Key Infrastructure, PKI) — это комплексная система организационных, программно-аппаратных и криптографических средств, предназначенная для управления цифровыми сертификатами и ключами шифрования в асимметричных криптосистемах. Основная функция ИУОК заключается в обеспечении проверки подлинности (аутентификации) участников информационного обмена, целостности передаваемых данных и неотказуемости (невозможности отказа от авторства) цифровых подписей. Инфраструктура решает проблему доверия между сторонами, которые не имеют предварительно установленных защищённых каналов связи, путём создания иерархии доверенных центров сертификации.

История развития

Предпосылки возникновения

Необходимость в создании инфраструктуры управления открытыми ключами возникла с развитием электронной коммерции, электронного документооборота и интернет-банкинга в 1990-х годах. До появления ИУОК асимметричное шифрование (алгоритмы RSA, Эль-Гамаля) позволяло решать задачу обмена ключами, но не решало проблему подтверждения принадлежности открытого ключа конкретному лицу или организации. Атака «человек посередине» (MITM) оставалась актуальной, так как злоумышленник мог подменить открытый ключ легитимного пользователя.

Первые стандарты и внедрение

В 1988 году Международный союз электросвязи (ITU-T) принял рекомендацию X.509, которая определила формат цифровых сертификатов. Этот стандарт стал основой для большинства современных реализаций ИУОК. В 1995 году компания Netscape Communications разработала протокол SSL (Secure Sockets Layer), который использовал сертификаты X.509 для защиты веб-трафика. Это стало первым массовым применением PKI в интернете.

В 2000-х годах правительства многих стран, включая Россию, начали внедрять национальные системы ИУОК для электронного правительства и цифровых подписей. В России Федеральный закон № 63-ФЗ «Об электронной подписи» (2011 год) определил правовые основы использования усиленных квалифицированных электронных подписей, что потребовало создания аккредитованных удостоверяющих центров (УЦ).

Основные компоненты ИУОК

Удостоверяющий центр (УЦ)

Удостоверяющий центр (Certificate Authority, CA) — ключевой элемент инфраструктуры, отвечающий за выпуск, хранение, отзыв и продление цифровых сертификатов. УЦ проверяет личность заявителя (физического или юридического лица) перед выдачей сертификата и подписывает его своим закрытым ключом, гарантируя подлинность данных. В России УЦ, аккредитованные Министерством цифрового развития, связи и массовых коммуникаций, называются квалифицированными удостоверяющими центрами (КУЦ).

Регистрационный центр (РЦ)

Регистрационный центр (Registration Authority, RA) выполняет функцию проверки данных заявителя перед передачей запроса в УЦ. РЦ может быть физически отделён от УЦ и располагаться в разных организациях. Он подтверждает, что заявитель действительно является владельцем указанных реквизитов (например, паспортных данных или реквизитов организации).

Репозиторий сертификатов

Репозиторий — это централизованное или распределённое хранилище, в котором публикуются действующие сертификаты, списки отозванных сертификатов (Certificate Revocation List, CRL) и информация о статусе сертификатов (через протокол OCSP — Online Certificate Status Protocol). Доступ к репозиторию обычно осуществляется через протоколы LDAP, HTTP или FTP.

Конечные пользователи

Конечные пользователи (субъекты сертификатов) — это физические лица, организации или устройства (серверы, смарт-карты, IoT-устройства), которые получают сертификаты для подписания документов, шифрования данных или аутентификации.

Принципы работы

Выпуск сертификата

Процесс выпуска сертификата включает следующие этапы:

  1. Генерация ключевой пары: пользователь создаёт закрытый и открытый ключи (алгоритмы RSA, ECDSA, ГОСТ Р 34.10-2012).
  2. Формирование запроса: пользователь отправляет в УЦ запрос на сертификат (CSR — Certificate Signing Request), содержащий открытый ключ и идентификационные данные.
  3. Верификация: РЦ или УЦ проверяет подлинность предоставленных данных (например, через паспортные данные или выписку из ЕГРЮЛ).
  4. Подписание сертификата: УЦ создаёт цифровой сертификат в формате X.509, подписывает его своим закрытым ключом и выдаёт пользователю.
  5. Публикация: сертификат помещается в репозиторий для общего доступа.

Проверка подлинности

При получении цифрового сообщения или подписи проверяющая сторона:

  1. Получает сертификат отправителя (из сообщения или из репозитория).
  2. Проверяет цепочку сертификатов: сертификат отправителя должен быть подписан доверенным УЦ, чей сертификат, в свою очередь, подписан корневым УЦ.
  3. Проверяет статус сертификата (не отозван ли он) через CRL или OCSP.
  4. Использует открытый ключ из сертификата для проверки цифровой подписи или расшифровки данных.

Отзыв сертификата

Сертификат может быть отозван до истечения срока действия в случаях:

УЦ публикует список отозванных сертификатов (CRL), который периодически обновляется. Протокол OCSP позволяет получать информацию о статусе конкретного сертификата в реальном времени.

Классификация сертификатов

По уровню проверки

По назначению

Криптографические алгоритмы

Международные стандарты

Российские стандарты (ГОСТ)

В Российской Федерации для ИУОК используются национальные криптографические стандарты, определённые в:

Сертификаты, соответствующие ГОСТ, обязательны для использования в государственных информационных системах и при межведомственном электронном взаимодействии.

Применение

Веб-безопасность

ИУОК является основой протокола HTTPS. Сертификаты TLS/SSL, выпущенные доверенными УЦ, встроены в корневые хранилища браузеров (Mozilla, Google Chrome, Apple Safari) и операционных систем. Без валидного сертификата современные браузеры блокируют доступ к сайту или выводят предупреждение.

Электронный документооборот

В России ИУОК используется для подписания юридически значимых документов в системах электронного документооборота (ЭДО). Квалифицированная электронная подпись (КЭП) на базе сертификатов КУЦ приравнивается к собственноручной подписи и печати организации. Примеры операторов ЭДО: «Диадок» (СКБ Контур), «СБИС» (Тензор), «1С-ЭДО».

Электронное правительство

Портал «Госуслуги» и другие государственные информационные системы используют ИУОК для аутентификации граждан и организаций. Сертификаты выдаются через многофункциональные центры (МФЦ) или аккредитованные УЦ. КЭП применяется для подачи налоговой отчётности, регистрации юридических лиц и участия в электронных торгах.

Защита электронной почты

Протоколы S/MIME (Secure/Multipurpose Internet Mail Extensions) и PGP (Pretty Good Privacy) используют сертификаты для шифрования и подписания электронных писем. ИУОК позволяет интегрировать эти механизмы в корпоративные почтовые системы без необходимости предварительного обмена ключами.

Критика и проблемы

Сложность управления

ИУОК требует значительных административных ресурсов для поддержки: обновление CRL, управление сроками действия сертификатов, восстановление при компрометации корневого ключа. В крупных организациях число сертификатов может достигать десятков тысяч, что усложняет их учёт.

Уязвимости и атаки

Зависимость от централизованных УЦ

Модель ИУОК предполагает доверие к ограниченному числу корневых УЦ, что создаёт единую точку отказа. В ответ на это развиваются децентрализованные решения, такие как блокчейн-системы (например, Namecoin) и модель Web of Trust (PGP), где доверие устанавливается через перекрёстные подписи пользователей.

Перспективы развития

Автоматизация управления

Протокол ACME (Automatic Certificate Management Environment), реализованный в сервисе Let's Encrypt, позволяет автоматически выпускать и продлевать сертификаты DV без участия человека. Это снижает нагрузку на администраторов и уменьшает количество ошибок.

Постквантовая криптография

С развитием квантовых компьютеров существующие алгоритмы (RSA, ECDSA) могут быть взломаны. Ведутся работы по стандартизации постквантовых алгоритмов (например, CRYSTALS-Kyber, CRYSTALS-Dilithium), которые будут интегрированы в будущие версии ИУОК.

Интеграция с IoT

Инфраструктура управления открытыми ключами адаптируется для устройств интернета вещей (IoT), где требуется лёгкая аутентификация миллионов устройств с ограниченными вычислительными ресурсами. Разрабатываются упрощённые протоколы (например, EST — Enrollment over Secure Transport) и специализированные типы сертификатов.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →