תבניות
של אישורים דיגיטליים
אישור
דיגיטלי הוא בבסיסו אוסף של מידע מזהה המקושר עם מפתח ציבורי וחתום על-ידי
צד שלישי אמין כדי להוכיח את אמיתותו. אישור דיגיטלי יכול להיות אחד ממספר
של תבניות שונות.
PGP
מזהה שתי תבניות שונות של אישורים דיגיטליים:
{
אישורי PGP
{
אישורי X.509
תבנית
אישור PGP
אישור
PGP כולל את (אבל לא מוגבל ל) המידע הבא:
מספר
גרסת ה- PGP – מזהה איזו גרסה של PGP שימשה כדי ליצור את המפתח המקושר עם האישור.
המפתח
הציבורי של מחזיק האישור
– המפתח הציבורי יחד עם האלגוריתם של המפתח: RSA,
DH (Diffle-Hellman), או DSA (Digital Signature Algorithm).
המידע
של מחזיק האישור –
מורכב ממידע ה"זהות" על המשתמש, כגון שם, שם משתמש, תמונה, וכדומה.
החתימה
הדיגיטלית של בעל האישור
– נקראת גם חתימה עצמית, זו החתימה המשתמשת במפתח הפרטי המתאים
למפתח הציבורי המקושר עם האישור.
תקופת
התוקף של האישור –
תאריך/זמן ההתחלה ותאריך/זמן התפוגה של האישור.
אלגוריתם
ההצפנה הסימטרית המועדף עבור המפתח –
מראה על אלגוריתם ההצפנה שבעל האישור מעדיף שהמידע יוצפן בו. האלגוריתמים
הנתמכים הם CAST, IDEA או Triple-DES.
ניתן
לחשוב על אישור PGP כמפתח ציבורי עם תווית אחת או יותר המקושרות אליו. 'בתוויות'
אלה תמצא מידע מזהה של בעל המפתח וחתימה שלו, אשר מציינת שהמפתח והזיהוי
הולכים יחדיו. (חתימה מסוימת זו נקראת חתימה עצמית; כל אישור PGP מכיל חתימה עצמית.)
מאפיין
ייחודי אחד של התבנית של אישור PGP
הוא אישור בודד שיכול להכיל מספר חתימות. מעט או הרבה אנשים יכולים לחתום
על זוג המפתח/הזיהוי כדי להצהיר על ביטחונם בכך שהמפתח הציבורי אכן שייך
לבעלים המצוינים.
חלק
מאישורי PGP מורכבים ממפתח ציבורי עם מספר תויות, כאשר כל אחת מהן
מכילה אמצעים שונים לזיהוי בעל המפתח (למשל, שם הבעלים וחשבון הדואר האלקטרוני
שלו בחברה בה הוא עובד, הכינוי של הבעלים וחשבון הדואר האלקטרוני שלו בבית,
תמונה של הבעלים – כל אלה באישור אחד). רשימת החתימות של כל אחת מהזהויות
הנ"ל יכולה להיות שונה.
תבנית
אישור X.509
X.509
היא תבנית אישור נפוצה מאוד נוספת. כל אישורי
X.509 מתאימים לסטנדרט הבינלאומי ITU-T
X.509; כך (בתיאוריה)
אישורי X.509
שנוצרו עבור אפליקציה אחת ניתנים לשימוש ע"י כל אפליקציה שמתאימה
ל- X.509. בפועל, לעומת זאת, חברות שונות יצרו הרחבות
משלהן לאישורי X.509, ולא כולן עובדות יחדיו.
אישור
מצריך אימות שהמפתח הציבורי ושהשם של בעל המפתח מקושרים. באישורי PGP, כל אחד יכול לשחק את תפקיד המאמת. באישורי X.509,
המאמת הוא תמיד סמכות אישורים או מישהו שמונה ע"י סמכות אישורים.
(זכור כי אישורי PGP
גם תומכים במלואם במבנה היררכי בו משתמשים בסמכות אישורים כדי לאמת אישורים.)
אישור
X.509 הוא אוסף של סט סטנדרטי של שדות המכילים מידע
על משתמש או מתקן והמפתח הציבורי המתאים להם. הסטנדרט של X.509 מגדיר איזה מידע נכנס לאישורים, ומתאר כיצד לקדד
אותו (תבנית המידע). לכל אישורי X.509 יש את המידע הבא:
מספר
גרסת ה- X.509 – מזהה איזו גרסה של סטנדרט של X.509 מתאימה לאישור הזה, דבר אשר קובע איזה מידע ניתן לציין
בו.
המפתח
הציבורי של מחזיק האישור
– המפתח הציבורי יחד עם ציון האלגוריתם אשר מערכת ההצפנה משתמשת בו ומשתנים
כלשהם המקושרים למפתח.
המספר
הסדרתי של האישור
– הישות (אפליקציה או אדם) שיצרה את האישור אחראית על השמת מספר סדרתי
ייחודי שמבדיל בינו לבין אישורים אחרים שהיא מפיקה.
המזהה
הייחודי של מחזיק האישור
– שם זה מיועד להיות ייחודי על כל האינטרנט. מורכב ממספר תתי-קטעים, כמו
שם, חברה, מדינה וכו'.
תקופת
התוקף של האישור –
תאריך/זמן ההתחלה ותאריך/זמן התפוגה של האישור.
השם
הייחודי של מנפיק האישור
– השם הייחודי של הישות שחתמה על האישור. בדרך-כלל זוהי סמכות האישורים.
שימוש באישור מראה אמון בישות שחתמה על האישור.
החתימה
הדיגיטלית של בעל האישור
– החתימה המשתמשת במפתח הפרטי של הישות שהנפיקה את האישור.
מציין
אלגוריתם החתימה –
מזהה את האלגוריתם שהשתמשה בו סמכות האישורים כדי לחתום על האישור.
ישנם
הבדלים רבים בין אישור X.509 לבין אישור PGP, הבולטים ביותר הם:
{
ניתן ליצור אישור PGP משלך, אך הנך חייב לבקש ולקבל אישור X.509 מסמכות אישורים.
{
באופן טבעי, אישורי X.509
תומכים רק בשם אחד עבור בעל המפתח.
{
אישורי X.509
תומכים רק בחתימה דיגיטלית אחת כדי לאשר את המפתח.
השימוש
הכי נפוץ כיום באישורי X.509
הוא בדפדפני אינטרנט.