Общие сведения
Информация о поставщике
Поставщиком сервисов УЦ SberCA является ФП Интеграционный слой. УЦ SberCA представляет собой систему реализации функций удостоверяющего центра и может применяться для построения инфраструктуры открытых ключей.
Функциональное назначение
Перед выполнением запроса к сервисам CAPROXY необходимо вызвать Сервис получения токена авторизации
В текущей реализации доступны следующие возможности сервисов УЦ SberCA:
Выпуск сертификата в контейнере PKCS 12
Регистрация CSR в удостоверяющем центре
Получение статуса сертификата по идентификатору CSR
Отзыв сертификата по серийному номеру
Возобновление действия приостановленного ранее сертификата
Получение статуса сертификата по серийному номеру
Получение списка сертификатов по CN
Получение цепочки сертификатов в контейнере PKCS 7 по серийному номеру
Получение сертификата по серийному номеру сертификата
PKI представляет собой систему, основным компонентом которой является удостоверяющий центр и пользователи, взаимодействующие между собой используя сертификаты, выданные этим удостоверяющим центром.
Удостоверяющий центр — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи .
Инфраструктура открытых ключей основывается на использовании принципов криптографической системы с открытым ключом.
Основные функции удостоверяющего центра:
проверка личности будущих пользователей сертификатов;
выдача пользователям сертификатов;
отзыв сертификатов;
ведение и публикация списков отозванных сертификатов (Certificate Revocation List/CRL), которые используются клиентами инфраструктуры открытого ключа, когда они решают вопрос о доверии сертификату.
Дополнительные функции удостоверяющего центра:
УЦ может производить генерацию пар ключей, один из которых будет включен в сертификат;
УЦ может предоставлять информацию о выпущенных сертификатах.
Сертификат — это электронный документ, который содержит электронный ключ пользователя (открытый ключ), информацию о пользователе, которому принадлежит сертификат, электронную подпись УЦ, информацию о сроке действия сертификата и другие атрибуты. Сертификат не может быть бессрочным, он всегда содержит дату и время начала и окончания своего действия.
Причины досрочного прекращения действия сертификата (отзыва сертификата):
компрометация закрытого ключа;
изменение информации о владельце сертификата, содержащейся в этом сертификате;
добровольное заявление владельца сертификата;
изменения полномочий текущего владельца сертификата.
Ключевая пара — это набор, состоящий из двух ключей: закрытого ключа (private key) и открытого ключа (public key). Эти ключи создаются вместе, являются комплементарными по отношению друг к другу (то, что зашифровано с помощью открытого ключа можно расшифровать, только имея закрытый ключ, а электронную подпись, сделанную с помощью закрытого ключа, можно проверить, используя открытый ключ).
Ключевая пара создается либо центром выдачи сертификатов (удостоверяющим центром) по запросу пользователя, или же самим пользователем с помощью специального программного обеспечения. Пользователь делает запрос на сертификат, и после процедуры идентификации пользователя УЦ выдает ему сертификат, подписанный этим Удостоверяющим Центром. Электронная подпись УЦ свидетельствует о том, что данный сертификат выдан именно этим центром и никем другим.
Открытый ключ известен всем, в то время закрытый ключ хранится в тайне. Владелец закрытого ключа всегда хранит его в тайне и ни при каких обстоятельствах не должен допустить того, чтобы этот ключ стал известным злоумышленникам или другим пользователям. Если же закрытый ключ все-таки станет известен злоумышленникам, то он считается скомпрометированным, поэтому сертификат со связанным с ним открытым ключом должен быть отозван. Только владелец закрытого ключа может подписать данные, а также расшифровать данные, которые были зашифрованы открытым ключом, связанным с закрытым ключом владельца. Действительная подпись гарантирует авторство информации и то, что информация в процессе передачи не подверглась изменениям. Подпись кода гарантирует, что данное программное обеспечение действительно произведено указанной компанией и не содержит вредоносного кода, если компания это декларирует.
Собственный закрытый ключ используется для подписи данных; собственный закрытый ключ, в свою очередь, используется для расшифрования данных, полученных от других участников PKI. Открытый ключ, извлеченный из сертификата другого участника Инфраструктуры Открытых Ключей, может использоваться для подтверждения корректности электронной подписи этого участника, а также для шифрования данных отправляемых этому участнику. Процесс шифрования с использованием асимметричной криптографии является медленным по сравнению с симметричными алгоритмами, поэтому использование его для шифрования данных не рекомендуется и по факту не производится в системах, где время является критическим фактором. При использовании сертификатов открытых ключей для защищенного взаимодействия с веб-сайтами (интернет-магазинами, банками), сертификаты используются только для установления защищенной связи; для последующего обмена информацией используются выбранные сторонами симметричные ключи.
Контактная информация
По вопросам работы API можно обращаться на uc_rsa@sbrf.ru