Либертариум Либертариум
...
Более того, в Windows 2000 предусмотрена возможность "шлепать" собственные сертификаты для клиентов of сервисов этой операционной системы, достаточно только получить "корневой" сертификат от какого-нибудь уважаемого CA - Certificate Authority, и уж потом выступать как CA для своих клиентов
...
А зачем подписывать ключ у уважаемого СA? Это возможный вариант, но не обязательный, тем более что в последнее время я как-то не нахожу у уважаемых СA такую услугу. Единая иерархия CA эта какая-то древняя идея в духе CCITT. Причем идея, imho, очень вредная. А учитывая последнюю моду на кросс-сертификацию возможно через пару лет, вообще останется только один CA, он же самый уважаемый СА

--
xtens

Автор: Maxim E. Smirnoff
19.03.2000

Комментарии (4)

  • ФАПСИ не будет препятствовать началу продаж Windows 2000

    Виктор Ангелов, 19.03.2000
    в ответ на: комментарий (Maxim E. Smirnoff, 19.03.2000)
    ==============================================

    Приветствую Вас категорически -один CA останется тогда, когда наступит мировой коммунизм, то есть когда вымрут нотариальные и адвокатские конторы, ибо пока что CAs выполняют в E-commerce вполне аналогичные функции этих контор.

    "Это возможный вариант,но не обязательный, тем более что в последнее время я как-то не нахожу у уважаемых СA такую услугу."

    О каком продукте конкретно идет речь? ("не обязательный" вариант - для каких конкретно Сертификационных Серверов?) А "как-то" найти такую услугу у CA - очень просто, особенно если Вы имеете дело с Netscape Certificate Server или MS IIS (в моей реплике, напомню, речь шла о MS):

    http://www.microsoft.com/TechNet/iis/train9.asp
    http://developer.netscape.com/docs/manuals/cms/41/adm_gide/kycrt_in.htm

    Если не нравятся эти продукты, можно использовать давно проверенный:
    http://www.zdnet.com/pcweek/reviews/0414/14xcert.html

    "Единая иерархия CA" - я не знаю, признаться, что это такое,что это за идея, imho. Много на белом свете идей... Если растолкуете - буду очень признателен,только, пожалуйста, с разьяснением сути и - в чем эта идея "очень вредная" (например, вредная для здоровья или для обсуждения под водку?). Я знаю про употребление "деревянной" структуры CAs при наличии в корне (root) такого CA, который "знает" все кратчайшие пути для кросс-сертификации, дабы не гонять понапрасну по всем инстанциям Клиентов с их сертификатам, полученным у разных CAs. А вообще-то эта "последняя мода", кросс-сертификация, уже лет 5 как последняя...

    Виктор Ангелов.

  • ФАПСИ не будет препятствовать началу продаж Windows 2000

    Maxim E. Smirnoff, 19.03.2000
    в ответ на: комментарий (Виктор Ангелов, 19.03.2000)
    Здравствуйте, Виктор.
    один CA останется тогда, когда наступит мировой коммунизм, то есть когда вымрут нотариальные и адвокатские конторы, ибо пока что CAs выполняют в E-commerce вполне аналогичные функции этих контор
    Не совсем так. Я как-то писал в этом форуме, что digital certificate любителю пива должен выдавать клуб любителей пива, девушке на выдане -- брачное агентство и т.д., однако на практике есть Verisign, Thawte и еще пара десятков существенно более мелких CAs, которые явно тяготеют если не к объединению, то к координации [скудного] набора предлагаемых услуг. Фантазии этих CAs хватает на связывание открытого ключа и dns имени сервера или e-mail владельца сертификата. Согласитесь, если бы мы использовали сертификаты в дискуссии на этом форуме, Вам было бы куда интереснее увидеть сертификат изданный каким-либо учебным заведением, подтверждающий профессиональный уровень оппонента, чем верисайновскую гарантию того, что адрес электронной почты собеседника, действительно user@home.
    Спектр нотариальных услуг Verisign ограничивается проверкой регистрации организации. Для Y2K такой сервис выглядит как-то убого. И, кстати, про e-commerce. Вернее про то о чем в e-commerce постояннно забывают, по крайней мере в России. Непосредственно о предоставлении "электронных" услуг (всех кто занимается и-коммерцией, почему-то интересуют электронные платежи, т.е. не то как можно предоставлять услуги через Internet, а как получать за это деньги). Я уже где-то здесь писал, что сертификаты, куда интереснее использовать именно при предоставлении услуг через инет. Е-mail от доктора с диагнозом заболевания, приобретет вес, если он подписан цифровой подписью, а ключ, заверен сертификатом какой-либо медицинской ассоциации, и если врач схалтурил, то он будет отвечать за свое письмо, а ассоциация за то что выдала ему сертификат, ну и т.д. Одним словом сертификаторам пока есть куда расти, никакие они не нотариусы и тем более не адвокатские конторы. После приобретения Verisign-ом Network Solutions этот уважаемый CAs можно с полным правом обзывать доменным регистратором, которым видимо он всю жизнь и хотел стать.

    Про услуги: я хочу подписать сертификат своего CA у Verisign и не нахожу как это сделать, поэтому использую в MS Certificate Sеrvices самоподписанный сертификат для заверения всяких других сертификатов (это же можно было делать и в MS Certificate Sеrver, который поставлялся с NT Option Pack). Впрочем, этот продукт не опрадывает мои ожидания, и на сегодня старый добрый ssleay (openssl) справляется с задачами CA куда лучше, imho.

    Про иерархию CA: я говорю о том что дерево CAs нарисованное в X.509 в 1988 году, действительно может вырасти, причем в мире будет только одно дерево с корнем в уже упомянутом verisign. Чем это плохо? Да тем, что когда у root-а этого дерева поедет крыша и он, например, решит что в сертификате должен быть обязательный атрибут ICQ UIN всем придется с этим считаться и ставить себе аську. (в этой связи, про скандалы с распределением доменных имен лучше и не вспоминать). Кстати, в младших версиях Internet Explorer и Netscape Navigator нельзя было добавлять сертификаты CAs. Был фиксированный список сертификатов "прошитый" заводом-изготовителем, а сертификаты других authority вызывали у броузеров поток гневных предупреждений.

    --
    xtens

  • ФАПСИ не будет препятствовать началу продаж Windows 2000

    Виктор Ангелов, 26.03.2000
    в ответ на: комментарий (Maxim E. Smirnoff, 19.03.2000)
    =================================================

    Здравствуйте, Максим!!!

    Спасибо за подробный ответ. Видимо, я уж слишком в буквальном смысле истолковал Вашу фразу о "Единой иерархии СА", конкретно - слово "единой" я отождествил с "единственной для всех"...

    В принципе, я согласен с Вашими доводами относительно бедного набора нотариально-адвокатских функций CAs. Однако, в примере с любителем пива - почему "digital certificate
    любителю пива должен выдавать клуб любителей пива"? Именно - почему ДОЛЖЕН то? Почему я, как любитель пива, не могу выбрать в качестве СА ту контору, которую считаю нужным или просто она мне нравится ? Например, брачное агенство. Да и вообще я считаю, что пиво надо "сертифицировать" водочкой, а не бумажно\цифровым сертификатом, в том смысле, что любительство пива - это процесс, вся приятность которого заключается в возможности повторения его и завтра, и послезавтра, а сертификат любителя пива - это нечто, фиксирующее заслуги, а какие могут быть у меня заслуги перед моими со-кружниками, со-бутыльниками, если завтра-послезавтра мы соберемся опять и начнем с нуля? А засертифицировать мои анкетные данные (DN of subject, X.509) и Public Key Info я могу и обыкновенным способом...

    Пардон за задержку с ответом.

    Have a good weekend!!!
    Victor.

  • Эволюция института CA

    Давайте разберемся, что такое сертификаты и как их использовать. В самом общем виде получение вами некой заверенной сертификатом информации означает:

    "<Лицо, знающее секретную информацию А> подтверждает истинность некоего <Утверждения>, сделанного <Лицом, знающим секретную информацию Б>".

    В качестве <Утверждения> может фигурировать:

    "<Лицо, знающее секретную информацию Б>, является Васей Пупкиным, паспорт.... выдан..."
    "<Лицо, знающее секретную информацию Б>, является гомеопатом с 25-летним стажем" и т.п.

    Такая структура, если ее желательно использовать для связи с реальным миром (деньги, медицина) предполагает наличие связки на каком-то уровне. В вершине дерева должно стоять типа:

    "<Лицо, которому можно доверять> подтверждает истинность некоего <Утверждения>, сделанного <Лицом, знающим секретную информацию Б>".

    При этом природа доверия к <Лицу, которому можно доверять> принципиально должна носить нецифровой (или не тольео цифровой) характер. Начиная от этого утверждения, можно строить цепочки сертфикатов для разных лиц, с учетом особенностей различных Утверждений.

    В настоящее время роль этих первых утверждений играет факт наличия сертификатов от ряда СА, встроенных в фирменный браузер. Расширение круга этих утверждений делается при получении вами сертификата, которому вы доверяете в силу некой дополнительной информации.

    Таким образом, эволюция СА может пойти уймой путей. Например, один обязательный официальный СА на страну (юрисдикцию) для выдачи паспортов физ.лицам. И от этого вы не уйдете, пока не изменится природа суверенного права.

Московский Либертариум, 1994-2020