Сообщение, которое отправляется по каналу связи, состоит из документа и цифровой подписи. На другом конце канала связи сообщение делится на оригинальный документ и цифровую подпись. Так как цифровая подпись была зашифрована частным ключом, то на приемном конце можно провести ее расшифровку с помощью общего ключа. Таким образом, на приемном конце получается расшифрованный хэш. Далее подается текст документа на вход той же функции, которую использовала передающая сторона. Если на выходе получится тот же хэш, который был получен в сообщении, целостность документа и личность отправителя можно считать доказанными.
Цифровым сертификатом называется сообщение с цифровой подписью, которое в настоящее время обычно используется для подтверждения действительности общего ключа. Цифровой сертификат в стандартном формате Х.509 включает следующие элементы:
• номер версии;
• серийный номер сертификата;
• эмитент информации об алгоритме;
• эмитент сертификата;
• даты начала и окончания действия сертификата;
• информация об алгоритме общего ключа субъекта сертификата;
• подпись эмитирующей организации.
На практике часто используют совместно шифрование и цифровые сертификаты. Например, маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей (рис. 8.1). Предположим, что эмитирующей организации (СА) удалось получить сертификаты Х.509 для маршрутизатора и межсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатор и межсетевой экран тоже получили копии общего ключа СА по защищенным каналам. Теперь, если на маршрутизаторе имеется трафик, предназначенный для межсетевого экрана, и если маршрутизатор хочет обеспечить аутентификацию и конфиденциальность данных, необходимо предпринять следующие шаги.
1. Маршрутизатор отправляет в эмитирующую организацию СА запрос на получение общего ключа межсетевого экрана.
2. СА отправляет ему сертификат межсетевого экрана, зашифрованный частным ключом СА.
3. Маршрутизатор расшифровывает сертификат общим ключом СА и получает общий ключ межсетевого экрана.
4. Межсетевой экран направляет СА запрос на получение общего ключа маршрутизатора.