ЭЦҚ және электрондық пошта
Ашық кілттердің цифрлық сертификаттары (тіркеу куәліктері) пошталық хабарламаларды рұқсат етілмейтін оқып алудан немесе түрлендіруден қорғаған кезде, сондай-ақ алынған құжаттардың авторлығын анықтауда қолданылады. Пошталық хабарлама қорғалған деректерді берудегі (S/MIME, PEM, PGP) стандарттарының бірімен сәйкес қалыптасады.
Анағұрлым кең тараған клиенттік пошталық қосымша (мысалы Outlook/OE Microsoft фирмалары) S/MIME қолданбалы хаттамасы бойынша хабарламаларды қорғауды іске асырады. Бұл ретте хабарламаларды жіберушілердің клиентік БҚ шығыс хабарламалар ЭЦҚ көмегімен қол қою операциясын орындайды. ЭЦҚ хабарламаны жіберуші ретінде аталған адресаттан хабарламаның келгенін куәландырады.
Хабарламаны жіберуші мен алушы жалғыз СО сенім артқанда ЭЦҚ түпнұсқалылығын тексерудің егжей-тегжейлі үрдісін сипаттаймыз; оның сертификаты осы пайдаланушылардың жұмыс станцияларында сенімді түбірлік СО тізіміне орнатылған.
Хабарламаның ЭЦҚ тексеру үшін адресат мынадай әрекеттерді орындайды:
1. Жіберушінің [1] АК сертификатын алады және осы сертификаттың ЭЦҚ тексереді. Жіберушінің сертификаты түбірлі СО қол қойылғандықтан рәсімдеу жалғыз сертификатты тексеруге табыстырады.
2. Желілік анықтамадан (жіберуші сертификатының CDP алаңында аталған сілтеме бойынша) кері қайтарылған сертификаттардың соңғы тізімін алады және жіберуші мен түбірлік СО сертификаттарының мәртебесін тексереді, яғни осы сертификаттардың ЖСМ жоқ екеніне көз жеткізіеді.
3. Егер алдыңғы тексерудің барлығы сәтті аяқталса, алынған хабарламаның ЭЦҚ тікелей тексереді.
Хабарламаны алушы В (СОв) куәландырушы орталығы шығарған сертификатқа иеленді деп болжасақ, ал жөнелтуші C (ЦСс) куәландырушы орталығының сертификатына ие. Мұндай жағдайда алушы [2] хабарламаның ЭЦҚ тексеру үрдісінде мынадай сертификаттар тізбегін құруға және тексеруге мәжбүр: жөнелтушінің сертификаты -> СОс сертификаты -> СОа сертификаты, яғни ол анық сенетін сертификатқа дейін жол салады. Сертификаттардың мәртебесін анықтаған кезде жіберуші алдымен СОс кері қайтарылған сертификаттар тізімін алуға, онда жөнелтушінің сертификаты жоқ екеніне көз жеткізуге, ал кейіннен СОс сертификатының растығына көз жеткізу үшін түбірлік СОа ЖСМ алуға мәжбүр.
S/MIME стандарты SMTP хаттамасында – байланыстың нашар арналарын пайдаланған кезде электрондық пошта құралдарымен, оның ішінде екілік файлдармен, биттік бейнелермен және т.б. беру мүмкіндігін іске асыруға негізделеді. MIME – бұл SMTP пайдаланатын мәтіндік форматқа стандартты емес деректердің бейімделуін қамтамасыз ететін электрондық поштаны кеңейту. МІМЕ электрондық поштаның деректерін қорғау мақсатында тиісті криптографиялық объектілерге қосымша кеңейту пайдаланылады. S/MIME қауіпсіздігін кеңейту электрондық цифрлық қолтаңбаны іске асыруға рұқсат етеді.
S/MIME хабарламалардың негізгі типтерін толық қараймыз (1 кесте).
Тип | Типке қарасты | S/MIME параметрі | Сипаты |
Multipart | Signed |
| Ашық хабарлама + қол |
Application | pkcs7-mime | signedData | Қол қойылған объект |
Application | pkcs7-mime | envelopedData | Шифрланған объект |
Application | pkcs7-mime | degenerate signedData | Сертификаттар ұстайтын объект |
Application | pkcs7-signature |
| Қол (multipart/signed бөлігі) |
Application | pkcs10-mime |
| Сертификатты тіркеудің сұрауы |
1 кесте
Мultipart-signed типі екі бөліктен тұратын хабарламаның форматын: хабарламаның меншікті ашық мәтінін жән оның цифрлық қолтаңбасын анықтайды. Аpplication типі өзімен криптографиялық деректер ұсынатын екілік форматтағы стандартты емес ұсталымдарды анықтайды. Бұл деректер base64 форматындағы мәтіндік жолдар түрінде беру үшін кодталады. Рkcs7 немесе pkcs10 типке қарастысы криптографиялық объектіні беру синтаксисіне тиісті стандартты анықтайды. Mime сәйкестендіруші осы құрауыштың дербес mime-бірлік болып табылатынын анықтайды. Стандартты емес ұсталымдардың барлық түрі көпқұрауышты қол қойылған хабарламаның бөлігі болып табылатын application-pkcs7-signature қолтаңбасынан басқа дербес болып табылады. Осылай, “application-pkcs7-mime:envelopedData” белгісі бар объект «цифрлық конверт» технологиясы бойынша шифрланған хабарлама мәтінін ұстайтын mime-құрауышты өзімен ұсынады.
S/MIME стандартының соңғы болжамалары тізбеленген мүмкіндіктермен қатар, сонымен бірге application-pkcs7-mime:signedData құрауышы арқылы пайдаланушыға бірқатар қосымша берілетіндерді қолдайды. Олар: алудың қол қойылған түбіртектерін (өзімен екі рет қол қойылған PKCS#7signed объектісін ұсынатын) және қол жеткізілім белгілерін анықтайтын қорғау құлақша қағаздарын қосады.
