Эч кимге жашыруун эмес, кеңири колдонулган көмөкчү инструменттердин бири, ансыз ачык тармактарда маалыматтарды коргоо мүмкүн эмес, санариптик сертификат технологиясы. Бирок, технологиянын негизги кемчилиги санариптик сертификаттарды берген борборлорго шартсыз ишеним экендиги эч кимге жашыруун эмес. ENCRY компаниясынын технология жана инновациялар боюнча директору Андрей Чмора уюштурууга жаңы ыкманы сунуштады ачык ачкыч инфраструктурасы (Коомдук негизги инфраструктура, PKI), бул учурдагы кемчиликтерди жоюуга жардам берет жана бөлүштүрүлгөн китеп (блокчейн) технологиясын колдонот. Бирок биринчи кезекте.
Эгерде сиз учурдагы ачык ачкыч инфраструктураңыздын кандайча иштээрин билсеңиз жана анын негизги кемчиликтерин билсеңиз, анда биз төмөндө өзгөртүүнү сунуштап жаткан нерсеге өтүп кете аласыз.
Санарип кол тамгалар жана сертификаттар деген эмне?Интернетте өз ара аракеттенүү дайыма маалыматтарды берүүнү камтыйт. Биз баарыбыз маалыматтын коопсуз өткөрүлүшүнө кызыкдарбыз. Бирок коопсуздук деген эмне? Эң көп талап кылынган коопсуздук кызматтары - бул купуялуулук, бүтүндүк жана аныктык. Бул максатта азыркы учурда асимметриялык криптография, же ачык ачкыч менен криптография ыкмалары колдонулат.
Бул ыкмаларды колдонуу үчүн өз ара аракеттенүү субъекттеринин эки жеке жупташкан ачкычтары болушу керек экендигинен баштайлы - ачык жана жашыруун. Алардын жардамы менен биз жогоруда айткан коопсуздук кызматтары камсыздалат.
Маалымат берүүнүн купуялуулугуна кантип жетишилет? Маалыматтарды жөнөтүүнүн алдында жөнөтүүчү абонент алуучунун ачык ачкычын колдонуу менен ачык маалыматтарды шифрлейт (криптографиялык түрдө өзгөртөт), ал эми кабыл алган шифрленген текстти жупташтырылган жашыруун ачкычтын жардамы менен чечмелейт.
Берилген маалыматтын бүтүндүгү жана аныктыгы кантип жетишилет? Бул маселени чечүү үчүн дагы бир механизм түзүлгөн. Ачык маалыматтар шифрленген эмес, бирок криптографиялык хэш-функцияны колдонуунун натыйжасы - киргизилген маалыматтар ырааттуулугунун "кысылган" сүрөтү - шифрленген түрдө берилет. Мындай хэширлөөнүн натыйжасы “дайджест” деп аталат жана ал жөнөтүүчү абоненттин (“күбө”) жашыруун ачкычы аркылуу шифрленген. Дайжестти шифрлөөнүн натыйжасында санариптик кол тамга алынат. Ал ачык-айкын текст менен бирге алуучу абонентке берилет («текшерүүчү»). Ал күбөнүн ачык ачкычындагы цифралык кол тамганы чечмелейт жана аны криптографиялык хэш-функцияны колдонуунун натыйжасы менен салыштырат, аны текшерүүчү алынган ачык маалыматтардын негизинде өз алдынча эсептейт. Эгерде алар дал келсе, бул маалыматтар жөнөтүүчү абонент тарабынан анык жана толук түрдө өткөрүлүп берилгендигин жана чабуулчу тарабынан өзгөртүлбөгөнүн көрсөтөт.
Жеке маалыматтар жана төлөм маалыматы менен иштеген көпчүлүк ресурстар (банктар, камсыздандыруу компаниялары, авиакомпаниялар, төлөм системалары, ошондой эле салык кызматы сыяктуу мамлекеттик порталдар) асимметриялык криптографиялык ыкмаларды жигердүү колдонушат.
Санариптик сертификаттын ага кандай тиешеси бар? Баары оңой. Биринчи жана экинчи процесстер ачык ачкычтарды камтыйт жана алар борбордук ролду ойногондуктан, ачкычтар чындыгында жөнөтүүчүгө (кол коюуну текшерүү учурунда күбөгө) же алуучуга таандык экенине кепилдик берүү абдан маанилүү. чабуулчулардын ачкычтары менен алмаштырылган. Мына ошондуктан санариптик сертификаттар ачык ачкычтын аныктыгын жана бүтүндүгүн камсыз кылуу үчүн бар.
Эскертүү: ачык ачкычтын аныктыгы жана бүтүндүгү ачык маалыматтардын аныктыгы жана бүтүндүгү сыяктуу эле, б.а. электрондук цифралык кол тамганы (ЭСС) колдонуу менен ырасталат.
Санариптик сертификаттар кайдан келет?Ишенимдүү тастыктоочу органдар же Тастыктоо органдары (CAs) санариптик сертификаттарды берүү жана сактоо үчүн жооптуу. Өтүнмө ээси КАдан күбөлүк берүүнү талап кылат, Каттоо борборунда (КБ) идентификациядан өтөт жана КАдан күбөлүк алат. СА сертификаттын ачык ачкычы ал берилген уюмга таандык экенине кепилдик берет.
Эгерде сиз ачык ачкычтын аныктыгын ырастабасаңыз, анда бул ачкычты өткөрүп берүү/сактоо учурунда чабуулчу аны өзүнүн ачкычына алмаштыра алат. Эгерде алмаштыруу орун алган болсо, чабуулчу жөнөтүүчү абонент кабыл алуучу абонентке өткөрүп берген нерселердин баарын чечмелей алат же ачык маалыматтарды өз каалоосу боюнча өзгөртө алат.
Санариптик сертификаттар асимметриялык криптография бар жерде колдонулат. Эң кеңири таралган санарип сертификаттарынын бири HTTPS протоколу аркылуу коопсуз байланыш үчүн SSL сертификаттары. Ар кандай юрисдикцияларда катталган жүздөгөн компаниялар SSL сертификаттарын берүүгө катышат. Негизги үлүш бештен онго чейинки ири ишенимдүү борборлорго туура келет: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.
CA жана CR PKI компоненттери болуп саналат, ал ошондой эле камтыйт:
- Ачык каталог – санариптик сертификаттардын коопсуз сакталышын камсыз кылган коомдук маалымат базасы.
- Сертификатты жокко чыгаруу тизмеси – жокко чыгарылган ачык ачкычтардын санариптик сертификаттарынын коопсуз сакталышын камсыз кылган ачык маалымат базасы (мисалы, жупташтырылган купуя ачкычтын бузулушуна байланыштуу). Инфраструктура субъекттери бул маалымат базасына өз алдынча кире алышат же алар текшерүү процессин жөнөкөйлөтүүчү адистештирилген Online Сертификация Статус Протоколун (OCSP) колдоно алышат.
- Сертификат колдонуучулар – КА менен колдонуучу келишимин түзгөн жана сертификаттын ачык ачкычынын негизинде цифралык кол тамганы жана/же маалыматтарды шифрлеген тейлөөчү ПКИ субъекттери.
- Followers – Сертификаттын ачык ачкычы менен жупташтырылган жашыруун ачкычка ээ болгон жана СА менен абоненттик келишим түзгөн ПКИ субъекттери тейленет. Абонент бир эле учурда сертификаттын колдонуучусу боло алат.
Ошентип, CA, CR жана ачык каталогдорду камтыган ачык ачкыч инфраструктурасынын ишенимдүү субъекттери төмөнкүлөр үчүн жооптуу:
1. Өтүнмө ээсинин инсандыгынын аныктыгын текшерүү.
2. Ачык ачкыч сертификатынын профилин түзүү.
3. Инсандыгы ишенимдүү түрдө ырасталган арыз берүүчүгө ачык ачкычтын сертификатын берүү.
4. Ачык ачкыч сертификатынын статусун өзгөртүү.
5. Ачык ачкычтын сертификатынын учурдагы абалы жөнүндө маалымат берүү.
PKI кемчиликтери, алар кандай?PKI негизги кемчилиги ишенимдүү жактардын болушу болуп саналат.
Колдонуучулар CA жана CRге сөзсүз ишениши керек. Бирок, практика көрсөткөндөй, шартсыз ишеним олуттуу кесепеттерге алып келет.
Акыркы он жылдын ичинде бул чөйрөдө инфраструктуранын алсыздыгына байланыштуу бир нече ири жаңжалдар болду.
— 2010-жылы RealTek жана JMicron уурдалган санариптик сертификаттары менен кол коюлган Stuxnet зыяндуу программасы онлайнда тарай баштаган.
- 2017-жылы Google Symantecти көп сандагы жасалма сертификаттарды берген деп айыптаган. Ошол убакта Symantec өндүрүш көлөмү боюнча эң чоң CAлардын бири болгон. Google Chrome 70 браузеринде бул компания жана анын GeoTrust жана Thawte туунду борборлору тарабынан чыгарылган сертификаттарды колдоо 1-жылдын 2017-декабрына чейин токтотулган.
САлар бузулуп, натыйжада бардыгы жапа чеккен — САлардын өздөрү, ошондой эле колдонуучулар жана абоненттер. Инфраструктурага болгон ишеним жоголду. Мындан тышкары, санариптик сертификаттар саясий конфликттердин контекстинде бөгөттөлүшү мүмкүн, бул көптөгөн ресурстардын иштешине да таасирин тийгизет. Бул бир нече жыл мурун Россиянын президентинин администрациясында корккон нерсе, 2016-жылы алар RuNet сайттарына SSL сертификаттарын бере турган мамлекеттик сертификаттоо борборун түзүү мүмкүнчүлүгүн талкуулашкан. Учурдагы абал ушундай, ал тургай Россиядагы мамлекеттик порталдар да америкалык Comodo же Thawte компаниялары тарабынан берилген санариптик сертификаттар (Symantecтин туунду компаниясы).
Дагы бир көйгөй бар - суроо колдонуучулардын баштапкы аутентификациясы (аныктыгын текшерүү).. Тике жеке байланышсыз санариптик сертификат берүү өтүнүчү менен САга кайрылган колдонуучуну кантип аныктоого болот? Эми бул инфраструктуранын мүмкүнчүлүктөрүнө жараша кырдаал боюнча чечилет. Ачык реестрлерден бир нерсе алынат (мисалы, күбөлүктөрдү талап кылган юридикалык жактар жөнүндө маалыматтар), арыз ээлери жеке адамдар болгон учурда, алардын инсандыгын ырастоочу документтер, мисалы, паспорт менен ырасталган банк бөлүмдөрү же почта бөлүмдөрү колдонулушу мүмкүн.
Ишеним грамоталарын жасалмалоо үчүн негизги маселе болуп саналат. Маалыматтык-теориялык себептерден улам бул маселенин толук чечими жок экенин белгилей кетели: априори ишенимдүү маалымат болмоюнча, конкреттүү предметтин аныктыгын тастыктоо же четке кагуу мүмкүн эмес. Эреже катары, текшерүү үчүн арыз ээсинин инсандыгын тастыктаган документтердин топтомун көрсөтүү зарыл. Ар кандай текшерүү ыкмалары бар, бирок алардын бири да документтердин аныктыгына толук кепилдик бербейт. Демек, арыз ээсинин инсандыгынын аныктыгы да кепилдикке алынышы мүмкүн эмес.
Бул кемчиликтерди кантип жоюуга болот?Эгерде ПКИнин азыркы абалындагы проблемаларын борборлоштуруу менен тушундурууге болот, анда борбордон ажыратуу аныкталган кемчиликтерди жарым-жартылай жоюуга жардам берер эле деп айтуу логикалуу.
Децентралдаштыруу ишенимдүү жактардын болушун билдирбейт - сиз түзсөңүз децентралдаштырылган коомдук ачкыч инфраструктурасы (Борбордон ажыратылган коомдук ачкыч инфраструктурасы, DPKI), анда CA да, CR да керек эмес. Келгиле, санариптик сертификат түшүнүгүнөн баш тартып, ачык ачкычтар тууралуу маалыматты сактоо үчүн бөлүштүрүлгөн реестрди колдонолу. Биздин учурда, биз реестрди блокчейн технологиясы менен байланышкан жеке жазуулардан (блоктордон) турган сызыктуу маалымат базасы деп атайбыз. Санариптик сертификаттын ордуна биз “билдирүү” түшүнүгүн киргизебиз.
Билдирмелерди алуу, текшерүү жана жокко чыгаруу процесси сунушталган DPKIде кандай болот:
1. Ар бир арыз берүүчү каттоо учурунда форманы толтуруу жолу менен билдирүүгө арызды өз алдынча берет, андан кийин адистештирилген бассейнде сакталган бүтүмдү түзөт.
2. Ачык ачкыч жөнүндө маалымат ээсинин реквизиттери жана башка метаберилиштер менен бирге санариптик сертификатта эмес, бөлүштүрүлгөн реестрде сакталат, анын берилиши үчүн борборлоштурулган ПКИде КА жооп берет.
3. Арыз ээсинин инсандыгынын аныктыгын текшерүү факты болгондон кийин КР тарабынан эмес, DPKI колдонуучулар коомчулугунун биргелешкен аракеттери менен жүргүзүлөт.
4. Мындай билдирүүнүн ээси гана ачык ачкычтын статусун өзгөртө алат.
5. Каалоочулар бөлүштүрүлгөн китепке кирип, ачык ачкычтын учурдагы абалын текшере алышат.
Эскертүү: Өтүнмө ээсинин инсандыгын коомчулук тарабынан текшерүү бир караганда ишенимсиз көрүнүшү мүмкүн. Бирок биз санариптик кызматтардын бардык колдонуучулары сөзсүз түрдө санариптик изин калтырарын жана бул процесс мындан ары дагы күчөй турганын эстен чыгарбашыбыз керек. Юридикалык жактардын ачык электрондук реестрлери, карталар, рельефтин сүрөттөрүн санариптештирүү, социалдык тармактар – мунун баары жалпыга жеткиликтүү инструменттер. Алар журналисттердин да, укук коргоо органдарынын да иликтөөлөрүндө ийгиликтүү колдонулууда. Маселен, Bellingcat компаниясынын же малайзиялык Боинг учагынын кыйрашынын жагдайларын изилдеп жаткан JIT биргелешкен тергөө тобунун иликтөөлөрүн эске салуу жетиштүү.
Децентралдаштырылган ачык ачкыч инфраструктурасы иш жүзүндө кантип иштейт? Келгиле, биз технологиянын сүрөттөлүшүнө токтололу 2018-жылы патенттелген жана биз аны езубуздун ноу-хаубуз деп эсептейбиз.
Көптөгөн ачык ачкычтарга ээ болгон кандайдыр бир ээси бар экенин элестетиңиз, анда ар бир ачкыч реестрде сакталган белгилүү бир транзакция болуп саналат. СА жок болгон учурда, бардык ачкычтар ушул өзгөчө ээсине таандык экенин кантип түшүнүүгө болот? Бул көйгөйдү чечүү үчүн нөлдүк бүтүм түзүлөт, анда менчик ээси жана анын капчыгы жөнүндө маалымат камтылган (бүтүмдү реестрге жайгаштыруу үчүн комиссия андан дебетке алынат). Нөлдүк транзакция – бул ачык ачкычтар жөнүндө маалыматтар менен төмөнкү транзакциялар тиркеле турган "казык" түрү. Ар бир мындай транзакция атайын маалымат структурасын, же башкача айтканда, билдирүүнү камтыйт.
Кабарлоо - бул функционалдык талаалардан турган жана ээсинин ачык ачкычы жөнүндө маалыматты камтыган маалыматтардын структураланган жыйындысы, алардын туруктуулугу бөлүштүрүлгөн реестрдин тиешелүү жазууларынын бирине жайгаштыруу менен кепилденет.
Кийинки логикалык суроо нөлдүк бүтүм кантип түзүлөт? Нөлдүк транзакция - кийинкилер сыяктуу - алты маалымат талаасынын жыйындысы. Нөлдүк бүтүмдү түзүү учурунда капчыктын ачкыч жуптары (коомдук жана жупташкан жашыруун ачкычтар) катышат. Бул жуп ачкыч колдонуучу өзүнүн капчыгын каттаган учурда пайда болот, андан реестрге нөлдүк транзакцияны жайгаштыруу үчүн комиссия жана андан кийин билдирүүлөр менен операциялар дебеттелет.
Сүрөттө көрсөтүлгөндөй, SHA256 жана RIPEMD160 хэш-функцияларын ырааттуу колдонуу менен капчыкты ачык ачкыч дайджести түзүлөт. Бул жерде RIPEMD160 маалыматтардын компакттуу чагылдырылышы үчүн жооптуу, анын туурасы 160 биттен ашпайт. Бул маанилүү, анткени реестр арзан маалымат базасы эмес. Ачык ачкычтын өзү бешинчи талаага киргизилет. Биринчи талаа мурунку транзакцияга байланышты түзүүчү маалыматтарды камтыйт. Нөлдүк транзакция үчүн бул талаада аны кийинки транзакциялардан айырмалап турган эч нерсе жок. Экинчи талаа - транзакциялардын байланышын текшерүү үчүн маалыматтар. Кыскасы, биз биринчи жана экинчи талаалардагы маалыматтарды тиешелүүлүгүнө жараша "шилтеме" жана "текшерүү" деп атайбыз. Бул талаалардын мазмуну итеративдик хэширлөө жолу менен түзүлөт, муну төмөндөгү сүрөттө экинчи жана үчүнчү транзакцияларды байланыштыруу аркылуу көрсөтүшөт.
Биринчи беш талаадагы маалыматтар капчыктын жашыруун ачкычын колдонуу менен түзүлгөн электрондук кол тамга менен күбөлөндүрүлөт.
Болду, нөлдүк транзакция бассейнге жөнөтүлөт жана ийгиликтүү текшерүү реестрге киргизилгенден кийин. Эми сиз ага төмөнкү транзакцияларды "шилтеме" аласыз. Келгиле, нөлдөн башка транзакциялар кантип түзүлөөрүн карап көрөлү.
Сиздин көзүңүзгө түшкөн биринчи нерсе - бул ачкыч жуптарынын көптүгү. Буга чейин тааныш капчык ачкыч жуптарынан тышкары, жөнөкөй жана кызматтык ачкыч жуптары колдонулат.
Кадимки ачык ачкыч - бул бардыгы эмне үчүн башталган. Бул ачкыч тышкы дүйнөдө ачылып жаткан ар кандай процедураларга жана процесстерге (банктык жана башка транзакциялар, документ жүгүртүү ж.б.) катышат. Мисалы, жөнөкөй жуптан жашыруун ачкыч ар кандай документтер - төлөм тапшырмалары ж.б.у.с. үчүн ЭЦКны генерациялоо үчүн пайдаланылышы мүмкүн, ал эми ачык ачкыч бул нускамаларды кийин аткаруу менен бул цифралык кол тамганы текшерүү үчүн колдонулушу мүмкүн, эгерде ал жарактуу.
Кызматтык жуп катталган DPKI субъектине берилет. Бул жуптун аты анын максатына туура келет. Нөлдүк транзакцияны түзүүдө/текшерүүдө кызматтык ачкычтар колдонулбагандыгын эске алыңыз.
Келгиле, ачкычтардын максатын дагы бир жолу тактап көрөлү:
- Капчыктын ачкычтары нөлдүк транзакцияны жана башка нөл эмес транзакцияны түзүү/текшерүү үчүн колдонулат. Капчыктын купуя ачкычын капчыктын ээси гана билет, ал дагы көптөгөн жөнөкөй ачык ачкычтардын ээси.
- Кадимки ачык ачкыч максаты боюнча борборлоштурулган PKIде сертификат берилген ачык ачкычка окшош.
- Кызмат ачкыч жубу DPKIге таандык. Жашыруун ачкыч катталган субъекттерге берилет жана транзакциялар үчүн (нөлдүк транзакцияларды кошпогондо) ЭЦКны түзүүдө колдонулат. Операциянын электрондук цифралык колтамгасы реестрге киргизилгенге чейин аны текшерүү үчүн колдонулат.
Ошентип, ачкычтардын эки тобу бар. Биринчиси тейлөө ачкычтарын жана капчык ачкычтарын камтыйт - алар DPKI контекстинде гана мааниге ээ. Экинчи топко кадимки ачкычтар кирет - алардын чөйрөсү ар кандай болушу мүмкүн жана алар колдонулган колдонмо тапшырмалары менен аныкталат. Ошол эле учурда DPKI кадимки ачык ачкычтардын бүтүндүгүн жана аныктыгын камсыздайт.
Эскертүү: Кызмат ачкычынын жуптары ар кандай DPKI объектилерине белгилүү болушу мүмкүн. Мисалы, бардыгы үчүн бирдей болушу мүмкүн. Дал ушул себептен улам, ар бир нөл эмес транзакциянын кол тамгасын түзүүдө эки жашыруун ачкыч колдонулат, алардын бири капчыктын ачкычы болуп саналат - бул капчыктын ээсине гана белгилүү, ал ошондой эле көптөгөн жөнөкөй операциялардын ээси болуп саналат. ачык ачкычтар. Бардык баскычтардын өз мааниси бар. Мисалы, каттоодон өткөн DPKI субъекти тарабынан транзакция реестрге киргизилгендигин ар дайым далилдөөгө болот, анткени кол да жашыруун кызматтын ачкычында түзүлгөн. Жана эч кандай кыянаттык болушу мүмкүн эмес, мисалы, DOS чабуулдары, анткени ээси ар бир транзакция үчүн төлөйт.
Нөлдөн кийинки бардык транзакциялар ушундай жол менен түзүлөт: ачык ачкыч (нөлдүк транзакциядагыдай капчык эмес, кадимки ачкыч жуптарынан) SHA256 жана RIPEMD160 эки хэш-функциялары аркылуу ишке ашырылат. Үчүнчү талаанын маалыматтары ушундайча түзүлөт. Төртүнчү талаа коштоочу маалыматтарды камтыйт (мисалы, учурдагы абалы, жарактуулук мөөнөтү, убакыт белгиси, колдонулган крипто-алгоритмдердин идентификаторлору ж.б. жөнүндө маалымат). Бешинчи талаа кызмат ачкыч жупунун ачык ачкычын камтыйт. Анын жардамы менен, андан кийин ЭЦК текшерилет, ошондуктан ал репликацияланат. Мындай мамиле кылуунун зарылдыгын актайлы.
Эске салсак, транзакция бассейнге киргизилет жана ал иштетилгенге чейин ошол жерде сакталат. Бассейнде сактоо белгилүү бир тобокелдик менен байланышкан - транзакциялар боюнча маалыматтар бурмаланышы мүмкүн. Ээси транзакциянын маалыматтарын электрондук цифралык кол тамга менен күбөлөндүрөт. Бул ЭЦКны текшерүү үчүн ачык ачкыч транзакция талаасынын биринде ачык көрсөтүлөт жана андан кийин реестрге киргизилет. Транзакцияларды иштеп чыгуунун өзгөчөлүгү, чабуулчу маалыматтарды өз каалоосу боюнча өзгөртүп, андан кийин өзүнүн жашыруун ачкычын колдонуу менен аны текшере алат жана транзакциядагы цифралык кол тамганы текшерүү үчүн жупташкан ачык ачкычты көрсөтө алат. Эгерде аныктык жана бүтүндүк санариптик кол коюу аркылуу гана камсыз кылынса, анда мындай жасалмалоо байкалбай калат. Бирок, эгерде ЭЦКдан тышкары, сакталган маалыматтын архивдештирилишин да, туруктуулугун да камсыз кылган кошумча механизм болсо, анда жасалмалоону аныктоого болот. Бул үчүн, реестрге ээсинин чыныгы ачык ачкычын киргизүү жетиштүү. Келгиле, бул кантип иштээрин түшүндүрүп берели.
Чабуулчуга транзакция дайындарын жасоого уруксат бериңиз. Ачкычтар жана ЭЦК көз карашынан алганда, төмөнкү варианттар мүмкүн:
1. Чабуулчу транзакцияга өзүнүн ачык ачкычын коет, ал эми ээсинин санариптик колтамгасы өзгөрүүсүз калат.
2. Чабуулчу өзүнүн жеке ачкычында санариптик кол тамганы түзөт, бирок ээсинин ачык ачкычын өзгөртүүсүз калтырат.
3. Чабуулчу өзүнүн купуя ачкычында санариптик кол тамганы түзөт жана транзакцияга жупташтырылган ачык ачкычты жайгаштырат.
Албетте, 1 жана 2 варианттары эч кандай мааниге ээ эмес, анткени алар ар дайым ЭЦКны текшерүү учурунда аныкталат. 3-вариант гана мааниси бар жана эгерде чабуулчу өзүнүн жашыруун ачкычында санариптик кол тамганы түзсө, анда ал транзакцияда ээсинин ачык ачкычынан айырмаланып, жупташтырылган ачык ачкычты сактоого аргасыз болот. Бул чабуулчу бурмаланган маалыматтарды таңуулоонун жалгыз жолу.
Жеке жана коомдук - ээсинин туруктуу жуп ачкычтары бар деп коёлу. Маалыматтар ушул жуптун жашыруун ачкычын колдонуу менен ЭЦК менен күбөлөндүрүлсүн жана транзакцияда ачык ачкыч көрсөтүлөт. Ошондой эле бул ачык ачкыч мурда реестрге киргизилген жана анын аныктыгы ишенимдүү түрдө текшерилген деп коёлу. Андан кийин транзакциянын ачык ачкычынын реестрдеги ачык ачкычка туура келбегендиги жасалмачылыкты көрсөтөт.
жалпылоо. Ээсинин эң биринчи транзакция маалыматтарын иштеп чыгууда реестрге киргизилген ачык ачкычтын аныктыгын текшерүү зарыл. Бул үчүн, реестрден ачкычты окуп, аны коопсуздук периметринде (салыштырмалуу кол тийбестик зонасы) ээсинин чыныгы ачык ачкычы менен салыштырыңыз. Эгерде ачкычтын аныктыгы тастыкталса жана анын туруктуулугу жайгаштырылганда кепилденсе, анда кийинки транзакциядагы ачкычтын аныктыгын реестрдеги ачкыч менен салыштыруу аркылуу оңой эле тастыктоого/төгүнгө чыгарууга болот. Башка сөз менен айтканда, реестрден ачкыч шилтеме үлгү катары колдонулат. Бардык башка ээсинин транзакциялары ушундай эле иштетилет.
Транзакция электрондук цифралык кол тамга менен күбөлөндүрүлөт - бул жерде жашыруун ачкычтар керек, бир эмес, бир эле учурда эки - кызматтык ачкыч жана капчык ачкычы. Эки жашыруун ачкычты колдонуунун аркасында коопсуздуктун керектүү деңгээли камсыздалат - баарыдан кийин, кызматтын жашыруун ачкычы башка колдонуучуларга белгилүү болушу мүмкүн, ал эми капчыктын жашыруун ачкычы жөнөкөй ачкыч жуптарынын ээсине гана белгилүү. Биз мындай эки ачкычтуу кол тамганы “консолидацияланган” санариптик кол тамга деп атадык.
Нөл эмес транзакцияларды текшерүү эки ачык ачкычтын жардамы менен жүзөгө ашырылат: капчык жана тейлөө ачкычы. Текшерүү процессин эки негизги этапка бөлүүгө болот: биринчиси капчыктын ачык ачкычынын дайджестин текшерүү, экинчиси транзакциянын электрондук цифралык кол тамгасын текшерүү, ошол эле эки жашыруун ачкычтын жардамы менен түзүлгөн консолидацияланган ( капчык жана тейлөө). Эгерде ЭЦКнын жарактуулугу ырасталса, анда кошумча текшерүүдөн кийин транзакция реестрге киргизилет.
Логикалык суроо келип чыгышы мүмкүн: бүтүм нөлдүк бүтүм түрүндөгү "тамыры" менен белгилүү бир чынжырга таандык экендигин кантип текшерүү керек? Бул үчүн текшерүү процесси дагы бир этап менен толукталат - байланышты текшерүү. Бул жерде биз буга чейин көңүл бурбай келген алгачкы эки талаанын маалыматтары керек болот.
Келгиле, №3 транзакция чындыгында №2 транзакциядан кийин келип түшкөнүн текшеришибиз керек деп элестетип көрөлү. Бул үчүн комбинацияланган хэшинг ыкмасын колдонуу менен хэш-функциянын мааниси No2 транзакциянын үчүнчү, төртүнчү жана бешинчи талааларынын маалыматтары үчүн эсептелет. Андан кийин №3 транзакциянын биринчи талаасынын маалыматтарын жана №2 транзакциянын үчүнчү, төртүнчү жана бешинчи талааларынын маалыматтары үчүн мурда алынган бириккен хэш-функциянын маанисин бириктирүү жүргүзүлөт. Мунун баары SHA256 жана RIPEMD160 эки хэш-функциялары аркылуу ишке ашырылат. Эгерде алынган маани №2 транзакциянын экинчи талаасындагы маалыматтарга дал келсе, анда текшерүү өткөрүлөт жана байланыш ырасталат. Бул төмөндөгү цифраларда ачык-айкын көрүнүп турат.
Жалпысынан алганда, реестрге билдирүүнү түзүү жана киргизүү технологиясы дал ушундай көрүнөт. Кабарлоо чынжырын түзүү процессинин визуалдык иллюстрациясы төмөнкү сүрөттө берилген:
Бул текстте биз, албетте, бар майда-чүйдөсүнө чейин токтолбойбуз жана борбордон ажыратылган ачык ачкыч инфраструктурасынын идеясын талкуулоого кайтып келебиз.
Ошентип, өтүнмө ээси өзү CA маалымат базасында эмес, реестрде сакталган билдирүүлөрдү каттоого арыз бергендиктен, DPKIнин негизги архитектуралык компоненттери каралышы керек:
1. Жарактуу билдирүүлөрдүн реестри (RDN).
2. Жокко чыгарылган билдирүүлөрдүн реестри (РОН).
3. Токтотулган билдирүүлөрдүн реестри (RPN).
Ачык ачкычтар жөнүндө маалымат RDN/RON/RPNде хэш-функциянын маанилери түрүндө сакталат. Кадимки ачык ачкычтын статусу жөнүндө маалымат (жокко чыгаруу, токтото туруу ж. тиешелүү код мааниси түрүндөгү маалымат структурасынын төртүнчү талаасы. DPKI архитектуралык ишке ашыруунун көптөгөн ар кандай варианттары бар жана алардын бирин же башкасын тандоо бир катар факторлорго көз каранды, мисалы, оптималдаштыруу критерийлери ачык ачкычтарды сактоо үчүн узак мөөнөттүү эстутумдун баасы ж.б.
Ошентип, DPKI жөнөкөй болбосо да, архитектуралык татаалдыгы боюнча борборлоштурулган чечимге окшош болушу мүмкүн.
негизги суроо бойдон калууда - Кайсы реестр технологияны ишке ашыруу үчүн ылайыктуу?
Реестрдин негизги талабы - бул ар кандай түрдөгү транзакцияларды түзүү мүмкүнчүлүгү. Бухгалтердик китептин эң белгилүү мисалы - Bitcoin тармагы. Бирок, жогоруда сүрөттөлгөн технологияны ишке ашырууда, белгилүү бир кыйынчылыктар пайда болот: колдонуудагы скрипт тилинин чектөөлөрү, маалыматтардын ыктыярдуу топтомун иштетүү үчүн зарыл механизмдердин жоктугу, ыктыярдуу типтеги транзакцияларды түзүү ыкмалары жана башкалар.
Биз ENCRYде жогоруда айтылган маселелерди чечүүгө аракет кылдык жана реестрди иштеп чыктык, биздин оюбузча, анын бир катар артыкчылыктары бар, атап айтканда:
- транзакциялардын бир нече түрлөрүн колдойт: ал активдерди алмаштыра алат (б.а. финансылык операцияларды жүзөгө ашырат) жана ыктыярдуу түзүлүш менен бүтүмдөрдү түзө алат,
- иштеп чыгуучулар ар кандай технологиялык маселелерди чечүүдө керектүү ийкемдүүлүктү камсыз кылган PrismLang проприетардык программалоо тилине мүмкүнчүлүк алышат,
- ыктыярдуу маалыматтар топтомун иштетүү механизми каралган.
Эгерде биз жөнөкөйлөштүрүлгөн ыкманы алсак, анда төмөнкү аракеттер ырааттуулугу ишке ашат:
- Өтүнмө ээси DPKIге катталып, санариптик капчыкты алат. Капчыктын дареги – капчыктын ачык ачкычынын хэш мааниси. Капчыктын купуя ачкычы арыз ээсине гана белгилүү.
- Катталган субъектке кызматтын жашыруун ачкычына кирүү мүмкүнчүлүгү берилет.
- Субъект нөлдүк транзакцияны түзөт жана аны капчыктын жашыруун ачкычын колдонуу менен санариптик кол тамга менен текшерет.
- Эгерде нөлдөн башка транзакция түзүлсө, ал эки жашыруун ачкычты колдонуу менен электрондук цифралык кол тамга менен күбөлөндүрүлөт: капчык жана кызматтык ачкыч.
- Субъект бүтүмдү бассейнге тапшырат.
- ENCRY тармак түйүнү көлмөдөн транзакцияны окуйт жана санариптик кол тамганы, ошондой эле транзакциянын байланышын текшерет.
- Эгерде ЭЦК жарактуу болсо жана байланыш ырасталса, анда ал реестрге киргизүү үчүн транзакцияны даярдайт.
Бул жерде реестр жарактуу, жокко чыгарылган жана токтотулган билдирүүлөр жөнүндө маалыматты сактаган бөлүштүрүлгөн маалымат базасы катары иштейт.
Албетте, борбордон ажыратуу панацея эмес. Колдонуучунун баштапкы аутентификациясынын фундаменталдуу көйгөйү эч жерде жок болуп кетпейт: эгерде учурда өтүнмө ээсин текшерүү КР тарабынан жүргүзүлсө, анда DPKIде текшерүүнү коомчулуктун мүчөлөрүнө өткөрүп берүү жана активдүүлүктү стимулдаштыруу үчүн финансылык мотивацияны колдонуу сунушталат. Ачык булак текшерүү технологиясы белгилүү. Мындай текшерүүнүн натыйжалуулугу иш жүзүндө тастыкталды. Bellingcat интернет басылмасынын бир катар резонанстуу иликтөөлөрүн дагы бир жолу эске сала кетели.
Бирок жалпысынан төмөнкүдөй көрүнүш пайда болот: DPKI борборлоштурулган ПКИнин бардык кемчиликтерин болбосо да, оңдоого мүмкүнчүлүк.
Биздин Хабраблогго жазылыңыз, биз изилдөөбүздү жана өнүгүүбүздү жигердүү чагылдырууну жана ээрчүүнү пландап жатабыз , ENCRY долбоорлору тууралуу башка жаңылыктарды өткөрүп жибергиңиз келбесе.
Source: www.habr.com