Получение цифровой подписи от центра сертификации или партнера Майкрософт
Если предполагается обмениваться документами, содержащими цифровую подпись, с другими людьми и при этом позволять получателям документов проверять подлинность цифровой подписи, можно получить цифровой сертификат у известного стороннего центра сертификации. Дополнительные сведения можно найти в разделе Поиск цифрового удостоверения или служб цифровых подписей.
Если вы пытаетесь подписать документ Office 2007 без цифрового сертификата, появится диалоговое окно Получение цифрового удостоверения и вам будет предложено выбрать, как вы хотите получить цифровую подпись.
https://www.youtube.com/watch?v=ytadvertiseru
Подробнее о каждом варианте см. в следующих разделах.
Если вы выбрали вариант Получить цифровое удостоверение от партнера Майкрософт в диалоговом окне Получение цифрового удостоверения, вы будете перенаправлены на веб-сайт Microsoft Office, где вы можете приобрести цифровой сертификат одного из сторонних центров сертификации (ЦС).
Если предполагается обмениваться документами, содержащими цифровую подпись, с другими людьми и при этом позволять получателям документов проверять подлинность цифровой подписи, рекомендуется получить цифровой сертификат у известного стороннего центра сертификации.
Принцип работы
Наглядное объяснение принципа работы сертификатов открытого ключа на примере установки ПО от стороннего разработчика пользователем в Интернете
Сертификаты, как правило, используются для обмена зашифрованными данными в больших сетях. Криптосистема с открытым ключом решает проблему обмена секретными ключами между участниками безопасного обмена, однако не решает проблему доверия к открытым ключам. Предположим, что Алиса, желая получать зашифрованные сообщения, генерирует пару ключей, один из которых (открытый) она публикует каким-либо образом.
Любой, кто желает отправить ей конфиденциальное сообщение, имеет возможность зашифровать его этим ключом, и быть уверенным, что только она (так как только она обладает соответствующим секретным ключом) сможет это сообщение прочесть. Однако описанная схема ничем не может помешать злоумышленнику Давиду создать пару ключей, и опубликовать свой открытый ключ, выдав его за ключ Алисы.
Идея сертификата — это наличие третьей стороны, которой доверяют две другие стороны информационного обмена. Предполагается, что таких третьих сторон немного, и их открытые ключи всем известны каким-либо способом, например, хранятся в операционной системе или публикуются в журналах. Таким образом, подлог открытого ключа третьей стороны легко выявляется.
Сертификат открытого ключа выдаётся центром сертификации и состоит из таких полей как:
- сам открытый ключ владельца сертификата,
- срок действия,
- имя эмитента (центра сертификации),
- имя владельца сертификата
- и, самой важной части, цифровой подписи.
Цифровая подпись гарантирует невозможность подделки сертификата. Она является результатом криптографической хеш-функции от данных сертификата, зашифрованным закрытым ключом центра сертификации. Открытый ключ центра сертификации является общеизвестным, поэтому любой может расшифровать им цифровую подпись сертификата, затем вычислить хеш самостоятельно и сравнить, совпадают ли хеши.
Если Алиса сформирует сертификат со своим публичным ключом, и этот сертификат будет подписан третьей стороной (например, Трентом), любой, доверяющий Тренту, сможет удостовериться в подлинности открытого ключа Алисы. В централизованной инфраструктуре в роли Трента выступает удостоверяющий центр. В сетях доверия Трент может быть любым пользователем, и следует ли доверять этому пользователю, удостоверившему ключ Алисы, решает сам отправитель сообщения.
В SSL используется целая цепочка доверия: сертификат подписывается закрытым ключом владельца сертификата, находящегося выше в цепи.[1]
Создание собственной цифровой подписи
https://www.youtube.com/watch?v=ytdevru
Если вы не хотите приобретать цифровой сертификат у стороннего центра сертификации или вам требуется срочно подписать документ, вы можете создать собственный цифровой сертификат.
Перейдите в папку C:Program Files (x86) Microsoft оффицерут (или C:Program FilesMicrosoft OfficerootOffice16 , если используется 64-разрядная версия Office).
.
Запустите программу SelfCert.exe. Откроется диалоговое окно Создание цифрового сертификата.
В поле Имя вашего сертификата введите описательное имя сертификата.
Нажмите кнопку ОК.
Когда появится сообщение “SelfCert: успех”, нажмите кнопку ОК.
Перейдите в папку C:Program FilesMicrosoft Office{amp}lt;версия Office{amp}gt;.
Запустите программу SelfCert.exe. Откроется диалоговое окно Создание цифрового сертификата.
В поле Имя вашего сертификата введите описательное имя сертификата.
Нажмите кнопку ОК.
Когда появится сообщение «SelfCert: успех», нажмите кнопку ОК.
Нажмите кнопку Пуск и выберите по очереди пункты Все программы, Microsoft Office, Средства Microsoft Office и Средство создания цифровых сертификатов для проектов VBA. Откроется диалоговое окно Создание цифрового сертификата.
В поле Имя вашего сертификата введите описательное имя сертификата.
Нажмите кнопку ОК.
Когда появится сообщение «SelfCert: успех», нажмите кнопку ОК.
Чтобы просмотреть хранилище личных сертификатов, выполните указанные ниже действия.
Откройте Internet Explorer.
В меню Сервис выберите пункт Свойства обозревателя, а затем откройте вкладку Содержание.
Нажмите кнопку Сертификаты и откройте вкладку Личные.
Важно: Если подписать документ с применением собственного цифрового сертификата и поделиться им, то другие пользователи не смогут проверить достоверность вашей цифровой подписи. Им придется вручную указать, что они доверяют вашему самозаверяющему сертификату.
К началу страницы
Если вы не хотите приобретать цифровой сертификат у стороннего центра сертификации или вам требуется срочно подписать документ, вы можете создать собственный цифровой сертификат, выбрав параметр Создать свое цифровое удостоверение в диалоговом окне Получение цифрового удостоверения.
Создание собственного цифрового сертификата
В диалоговом окне Получение цифрового удостоверения выберите параметр Создать свое цифровое удостоверение.
Важно: Диалоговое окно Получение цифрового удостоверения появится только в том случае, если попытаться поставить цифровую подпись в документе, не имея цифрового сертификата.
В диалоговом окне Создание цифрового удостоверения введите следующие сведения для цифровой подписи:
В поле Имя введите свое имя.
В поле Адрес электронной почты введите свой адрес электронной почты.
В поле Организация введите название организации или компании.
В поле Расположение укажите свое географическое местоположение.
Щелкните Создать.
Примечание: Если подписать документ с применением собственного цифрового сертификата и поделиться им, то другие пользователи не смогут проверить достоверность вашей цифровой подписи. Ваша цифровая подпись может быть проверена только на том компьютере, где она была создана.
К началу страницы
Формальное описание
Пусть имеются две стороны информационного обмена — A{displaystyle A}, B{displaystyle B}, желающие обмениваться сообщениями конфиденциально, и третья сторона T{displaystyle T} (играющая роль удостоверяющего центра), которой доверяют A{displaystyle A} и B{displaystyle B}.
- Стороне A{displaystyle A} принадлежит пара ключей (KAo{displaystyle KA_{o}}, KAs{displaystyle KA_{s}}), где KAo{displaystyle KA_{o}} — открытый ключ, а KAs{displaystyle KA_{s}} — закрытый (секретный) ключ стороны A{displaystyle A}.
- Стороне T{displaystyle T} принадлежит пара ключей (KTo{displaystyle KT_{o}}, KTs{displaystyle KT_{s}}).
A{displaystyle A} регистрируется у T{displaystyle T} (посылает запрос на подпись), указывая данные о себе и свой KAo{displaystyle KA_{o}}. Сторона T{displaystyle T} посредством определенных механизмов “удостоверяет личность” стороны A{displaystyle A} и выдает стороне A{displaystyle A} сертификат C{displaystyle C}, устанавливающий соответствие между субъектом A{displaystyle A} и ключом KAo{displaystyle KA_{o}}. Сертификат C{displaystyle C} содержит:
- ключ KAo{displaystyle KA_{o}},
- идентификационные данные субъекта A{displaystyle A},
- идентификационные данные удостоверяющей стороны T{displaystyle T},
- подпись стороны T{displaystyle T}, которую обозначим ST{displaystyle ST}. Подпись ST{displaystyle ST} — это хеш (набор символов, хеш-сумма/хеш-код), полученный в результате применения хеш-функции к данным сертификата C{displaystyle C}, зашифрованный стороной T{displaystyle T} с использованием своего закрытого ключа KTs{displaystyle KT_{s}}.
- и другую информацию.
A{displaystyle A} посылает стороне B{displaystyle B} свой сертификат C{displaystyle C}. B{displaystyle B} проверяет цифровую подпись ST{displaystyle ST}. Для этого B{displaystyle B}
- самостоятельно вычисляет хеш от данных сертификата C{displaystyle C},
- расшифровывает ЭЦП сертификата ST{displaystyle ST} с помощью всем известного KTo{displaystyle KT_{o}}, получив другой хеш,
- проверяет равенство этих двух хешей.
Если полученные хеши равны – ЭЦП корректна, а это подтверждает, что KAo{displaystyle KA_{o}} действительно принадлежит A{displaystyle A}.
Теперь B{displaystyle B}, зная открытый ключ A{displaystyle A} и зная, что он принадлежит именно A{displaystyle A}, может шифровать этим открытым ключом все последующие сообщения для A{displaystyle A}. И только A{displaystyle A} сможет их расшифровать, так как KAs{displaystyle KA_{s}} известен только A{displaystyle A}.
Структура сертификата
Украина | Россия | |
---|---|---|
уникальный регистрационный номер сертификата | ||
дата и время начала и окончания срока действия сертификата | ||
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца | ||
открытый ключ | ||
наименование и реквизиты ЦС | ||
наименование криптографического алгоритма | ||
информацию об ограничении использования подписи | ||
указание на страну выпуска сертификата | – |
Кроме этого в сертификат могут вноситься дополнительные поля.
https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin
Бумажный сертификат должен выдаваться на основании подтверждающих документов и в присутствии лица с последующим заверением подписями работника УЦ и носителя закрытого ключа.