пользователей. Алгоритм подписи – это алгоритм, который использует заверяющее
лицо для подписи сертификата. Подпись создается пропусканием текста
сертификата через одностороннюю хэш-функцию. Величина, получаемая на выходе
хэш-функции, зашифровывается частным ключом сертифицирующей организации.
При этом предполагается, что публичный ключ заверяющего лица общедоступен и
может быть беспрепятственно получен пользователем из открытых источников.
Когда нужно удостоверить личность пользователя, он предъявляет свой
сертификат в двух формах — открытой, то есть такой, в которой он получил его в
сертифицирующей организации, и закрытой, зашифрованной с применением
собственного закрытого ключа. Сторона, проводящая аутентификацию, берет из
открытого сертификата открытый ключ пользователя и с его помощью
расшифровывает закрытый сертификат. Совпадение результата с данными
открытого сертификата означает успешную аутентификацию. Для того, чтобы
проверить, действительно ли данный сертификат заверен сертифицирующей
организацией, с помощью открытого ключа выдавшей сертификат организации
производится расшифровка подписи этой организации в сертификате. Если в
результате получается тот же сертификат — значит, пользователь действительно
прошел регистрацию в этой сертифицирующей организации и является тем, за кого
себя выдает. В настоящее время существует достаточно большое количество
специальных центров сертификации, которые хранят и заверяют ключи
пользователей. Самым популярным протоколом сертификации пользователей на
сегодня является протокол X.509, который поддерживается большинством
браузеров, почтовых клиентов, информационных систем.
Получить сертификат можно у коммерческих организаций. Этим, например,
занимается компания Verisign (http :// www . verisign . com ). Для нужд
сертификации внутри локальной сети можно воспользоваться специальным
программным обеспечением. Для платформы Windows это может быть сервер
сертификатов из поставки Windows 2000 Advanced Server.
65