Могу ли я создать собственную пару сертификатов? Я не понимаю, зачем мне нужен доверенный CA для электронной почты. Я бы предпочел сертификат, чем использовать GPG или что-то в этом роде.
1 ответ
2
Самозаверяющая пара ключей? Пара сертификатов? Вы бы предпочли использовать сертификат, чем GPG?
То, как вы задали свой вопрос, показывает, что вы плохо понимаете, как пары открытого и закрытого ключей и сертификаты связаны друг с другом.
- Вы обычно не подписываете (по крайней мере, не подписывает себя) ключи, вы подписываете сертификаты.
- Ключи идут парами, а сертификаты - нет.
- Наличие сертификата, который является самоподписанным сортом, сводит на нет преимущество, которое имеют сертификаты перед несертифицированными парами ключей.
Позвольте мне объяснить. Если вы хотите использовать пару открытый / закрытый ключ с электронной почтой, это обычно означает, что у вас есть одна или обе из этих основных целей:
- Вы хотите иметь возможность подписать некоторые или все свои электронные письма своим закрытым ключом, чтобы ваши корреспонденты могли убедиться, что ваши электронные письма действительно были получены от вас и не были изменены при передаче.
- Вы хотите, чтобы ваши корреспонденты зашифровали некоторые или все электронные письма для вас с помощью вашего открытого ключа, чтобы только вы могли прочитать содержимое этих электронных писем.
Это хорошо, но есть одна большая проблема. Чтобы это работало, вам нужно, чтобы ваши корреспонденты могли получить ваш открытый ключ, и быть уверенным, что это действительно ваш открытый ключ, а не самозванец.
Одним из способов решения этой проблемы будет отправка вашего открытого ключа каждому из ваших корреспондентов через доверенный носитель, и пусть они установят этот открытый ключ в своем программном обеспечении безопасности электронной почты для использования с сообщениями от вас. Это может сработать, но это займет много работы по настройке со стороны как вас, так и ваших корреспондентов, и эта работа по настройке должна быть сделана заранее для каждого корреспондента, прежде чем они смогут безопасно отправить вам электронное письмо.
Чтобы сделать его менее трудным, было бы неплохо, если бы был способ опубликовать ваш открытый ключ таким образом, чтобы любой новый потенциальный корреспондент вашей электронной почты мог заставить свое программное обеспечение автоматически извлекать его и при этом доверять тому, что он ваш.
Существует два хорошо известных решения этой проблемы публикации ключей надежным способом: сеть доверия PGP/GPG и основанная на сертификатах инфраструктура открытых ключей (PKI).
В сети доверия GPG вы публикуете свой открытый ключ в сети доверия GPG и поручаете другим знакомым вам людям или его подлинность отмечать ваш ключ как доверенный (подписывая его своими личными ключами). Затем, когда кто-то хочет отправить вам безопасное электронное письмо, он может извлечь ваш открытый ключ из системы доверия, посмотреть, кто за него поручился, решить, хотят ли они ему доверять, и если это так, использовать его для шифрования сообщений, которые он отправляет. вы.
В PKI на основе сертификатов у вас есть хорошо известное свидетельство CA о подлинности вашего открытого ключа, связывая ваш открытый ключ с некоторой идентифицирующей информацией о вас, а затем подписывая этот пакет. Эта подписанная пачка вашей идентификационной информации плюс ваш открытый ключ - ваш сертификат. Вы можете опубликовать этот сертификат повсеместно и даже приложить его к своим электронным письмам, и ваши корреспонденты, если они доверяют этому CA, могут принять слово CA о том, что этот сертификат показывает истинный открытый ключ для лица, указанного в сертификате.
Итак, если вы создаете самоподписанный сертификат, вы создаете что-то, что не более заслуживает доверия, чем открытый ключ, потому что никто, кроме вас, не ручается за это. Ни ваши друзья (сеть доверия GPG), ни пользующееся доверием государственное агентство (CA). Вы и ваши корреспонденты возьмете на себя ответственность за то, чтобы ваш открытый ключ действительно был вашим открытым ключом.
Так что, если вы побеждаете саму цель подписания сертификата, зачем вообще беспокоиться?