Как установить алгоритм шифрования цифровой подписи на компьютер

Обновлено: 21.11.2024

Что такое DSA и как он защищает ваши данные при отправке через Интернет?

Цифровые подписи основаны на архитектуре шифрования с открытым ключом для проверки подлинности документа и идентификации отправителя. Двумя стандартными способами получения цифровых подписей являются алгоритмы RSA (Rivest–Shamir–Adleman) и DSA (Digital Signature), но оба они отличаются выполнением функций шифрования и дешифрования.

В статье представлен обзор одного из стандартных отраслевых алгоритмов DSA, его рабочего процесса с кратким обзором генерации и проверки ключей и подписей, этапов всего процесса, его плюсов/минусов и его применения.< /p>

Введение в алгоритмы цифровой подписи

Алгоритм цифровой подписи (DSA) объединяет алгебраические свойства задач дискретного логарифмирования и модульного возведения в степень для создания электронной подписи для различных приложений. Он был предложен в 1991 году и принят в качестве федерального стандарта обработки информации Национальным институтом стандартов и технологий (NIST) в 1994 году.

Большинство алгоритмов создания цифровой подписи следуют типичной методике подписания дайджеста сообщения (хэша фактического сообщения) с помощью исходного закрытого ключа для создания цифрового отпечатка.

Однако в DSA ситуация иная, так как он создает две подписи за счет включения двух сложных и уникальных функций подписи и проверки. Следовательно, алгоритм DSA — это не простое использование закрытых и открытых ключей в начале и в конце связи.

Важность алгоритма цифровой подписи

В связи с постоянно растущими киберугрозами каждый раз, когда пользователь отправляет данные через Интернет, необходимо установить и проверить подлинность владельца. Мы должны убедиться, что владелец документа заслуживает доверия и что никто не внес никаких изменений во время передачи.

Цифровые подписи – это электронные подписи, которые помогают получателю аутентифицировать источник сообщения. Вы можете создавать эти электронные подписи с помощью различных алгоритмов, и DSA является одним из них. В DSA отправитель создает цифровую подпись, чтобы включить ее в сообщение, чтобы любой мог аутентифицировать ее на принимающей стороне.

  • Неотказуемость: после проверки подписи отправитель не может утверждать, что не отправлял данные.
  • Целостность: изменение данных во время передачи предотвращает окончательную проверку или расшифровку сообщения.
  • Аутентификация сообщения: правильная комбинация закрытого и открытого ключей помогает проверить происхождение отправителя.

Как алгоритм аутентифицирует отправителя?

Алгоритм DSA использует механизм систематических вычислений, который вычисляет хеш-значение и цифровую подпись, состоящую из двух 160-битных чисел из дайджеста сообщения и закрытого ключа. Случайность делает подпись недетерминированной. Он использует открытый ключ для проверки подлинности подписи, что намного сложнее, чем RSA.

Цикл DSA состоит из следующих трех основных шагов для завершения процесса:

    Генерация ключей: процесс основан на концепции модульного возведения в степень для получения закрытых (x) и открытых (y) ключей, которые удовлетворяют математическим условиям 0

Плюсы использования алгоритма цифровой подписи

  • Быстрое вычисление подписи
  • Требуется меньше места для хранения всего процесса.
  • Свободно доступен (без патентов) для бесплатного использования по всему миру.
  • Маленькая длина подписи
  • Наблюдение в режиме реального времени
  • Неинвазивный
  • DSA принято во всем мире для соблюдения законодательства.
  • Эффективность по времени (малые затраты времени по сравнению с процессами физической подписи и т. д.)

Минусы использования алгоритма цифровой подписи

  • Процесс не включает возможности обмена ключами.
  • Основная криптография должна быть новой, чтобы обеспечить ее надежность.
  • Стандартизация поставщиков компьютерного оборудования и программного обеспечения на RSA может вызвать проблемы из-за второго стандарта аутентификации DSA.
  • Сложные остаточные операции требуют много времени для вычислений и, следовательно, проверки подписи.
  • Он обеспечивает только аутентификацию, а не конфиденциальность, поскольку алгоритм не шифрует данные.
  • Алгоритмы DSA вычисляют хэш SHA1 для создания дайджеста сообщения. Следовательно, он отражает все недостатки хеш-функции SHA1 в алгоритме.

ДСА против RSA

Алгоритм цифровой подписи — это алгоритм шифрования с асимметричным ключом, принятый агентствами США для секретной и несекретной связи. Хотя RSA — это криптографический алгоритм с открытым ключом, который также использует модульную арифметику, его сила зависит от проблемы факторизации простых чисел для защиты связи и цифровых подписей. Следовательно, в отличие от обычных алгоритмов шифрования, таких как RSA, DSA является стандартом только для цифровых подписей.

Несмотря на то, что оба используют разные математические алгоритмы, криптографическая стойкость одинакова. Основное различие между двумя алгоритмами сводится к скорости, производительности и поддержке протокола SSH.

  • В отличие от DSA, RSA медленно расшифровывает, создает ключи и проверяет, но быстро шифрует и подписывает. Однако для проверки подлинности требуется и то, и другое, и в реальных приложениях разница в скорости незначительна.
  • Еще одно отличие заключается в поддержке сетевого протокола Secure Shell. RSA поддерживает исходный SSH и его безопасную вторую версию SSH2, тогда как DSA работает только с SSH2.

Аутентификация источника данных с помощью DSA

Цифровые подписи необходимы в современном взаимосвязанном мире для создания надежной и безопасной среды. Это отличный способ аутентифицировать любую запись в Интернете. В статье представлены алгоритмы цифровой подписи с кратким обзором процесса их работы, преимуществ, недостатков, ограничений безопасности и сравнением с RSA.

Открытый ключ — ключ, известный всем. Экс-открытый ключ A равен 7, эта информация известна всем.
Закрытый ключ — ключ, который известен только тому человеку, чьим закрытым ключом он является.

Аутентификация-Аутентификация — это любой процесс, с помощью которого система проверяет личность пользователя, желающего получить к ней доступ.
Неотказуемость — неотказуемость означает, что переданное сообщение было отправлено и получено сторонами, утверждающими, что они отправили и получили сообщение. Неотказуемость — это способ гарантировать, что отправитель сообщения не сможет позже отрицать отправку сообщения и что получатель не сможет отрицать получение сообщения.
Целостность — чтобы гарантировать, что сообщение не было изменено во время передачи.
Дайджест сообщения — представление текста в виде одной строки цифр, созданное с использованием формулы, называемой однонаправленной хеш-функцией. Шифрование дайджеста сообщения с помощью закрытого ключа создает цифровую подпись, которая является электронным средством аутентификации.

Цифровая подпись

  1. Алгоритмы генерации ключей. Цифровая подпись — это электронные подписи, которые гарантируют, что сообщение было отправлено конкретным отправителем. При выполнении цифровых транзакций должна быть обеспечена подлинность и целостность, в противном случае данные могут быть изменены или кто-то также может действовать так, как если бы он был отправителем, и ожидать ответа.
  2. Алгоритмы подписи. Для создания цифровой подписи алгоритмы подписи, такие как программы электронной почты, создают односторонний хэш электронных данных, которые должны быть подписаны. Затем алгоритм подписи шифрует хеш-значение с помощью закрытого ключа (ключа подписи). Этот зашифрованный хэш вместе с другой информацией, такой как алгоритм хеширования, является цифровой подписью. Эта цифровая подпись дополняется данными и отправляется верификатору. Причина шифрования хеша вместо всего сообщения или документа заключается в том, что хэш-функция преобразует любой произвольный ввод в гораздо более короткое значение фиксированной длины. Это экономит время, так как теперь вместо того, чтобы подписывать длинное сообщение, нужно подписывать более короткое хеш-значение, и, кроме того, хеширование происходит намного быстрее, чем подписание.
  3. Алгоритмы проверки подписи. Верификатор получает цифровую подпись вместе с данными. Затем он использует алгоритм проверки для обработки цифровой подписи и открытого ключа (ключ проверки) и генерирует некоторое значение. Он также применяет ту же хеш-функцию к полученным данным и генерирует хэш-значение. Затем сравнивается хеш-значение и результат алгоритма проверки. Если они оба равны, цифровая подпись действительна, в противном случае она недействительна.
  1. Дайджест сообщения вычисляется путем применения хэш-функции к сообщению, а затем дайджест сообщения шифруется с использованием закрытого ключа отправителя для формирования цифровой подписи. (цифровая подпись = шифрование (закрытый ключ отправителя, дайджест сообщения) и дайджест сообщения = алгоритм дайджеста сообщения (сообщение)).
  2. Затем вместе с сообщением передается цифровая подпись (передается сообщение + цифровая подпись)
  3. Получатель расшифровывает цифровую подпись, используя открытый ключ отправителя. (Это гарантирует подлинность, поскольку только отправитель имеет свой закрытый ключ, поэтому только отправитель может зашифровать его, используя свой закрытый ключ, который, таким образом, может быть расшифрован открытым ключом отправителя).
  4. Получатель теперь имеет дайджест сообщения.
  5. Получатель может вычислить дайджест сообщения из сообщения (фактическое сообщение отправляется с цифровой подписью).
  6. Дайджест сообщения, вычисленный получателем, и дайджест сообщения (полученный путем расшифровки цифровой подписи) должны совпадать для обеспечения целостности.

Дайджест сообщения вычисляется с использованием однонаправленной хеш-функции, т. е. хэш-функции, в которой вычисление хэш-значения сообщения является простым, но вычисление сообщения из хеш-значения сообщения очень сложно.

Цифровой сертификат

  1. Имя владельца сертификата.
  2. Серийный номер, который используется для уникальной идентификации сертификата, физического или юридического лица, идентифицируемого сертификатом.
  3. Срок действия.
  4. Копия открытого ключа владельца сертификата (используется для расшифровки сообщений и цифровых подписей)
  5. Цифровая подпись центра, выдавшего сертификат.

Цифровой сертификат также отправляется вместе с цифровой подписью и сообщением.

Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .

Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .

Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .

Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .

Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски.

Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут принести пользу их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

ЕС и США согласовывают структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предложат уступки в отношении слежки и новых данных.

Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.

Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .

цифровое удостоверение личности похоже на электронные водительские права или паспорт, подтверждающие вашу личность. Цифровой идентификатор обычно содержит ваше имя и адрес электронной почты, название организации, выдавшей его, серийный номер и дату истечения срока действия. Цифровые идентификаторы используются для защиты сертификатов и цифровых подписей.

Цифровые идентификаторы содержат два ключа: открытый ключ блокирует или шифрует данные; закрытый ключ разблокирует или расшифрует эти данные. Когда вы подписываете PDF-файлы, вы используете закрытый ключ для применения своей цифровой подписи. Открытый ключ находится в сертификате, который вы распространяете среди других. Например, вы можете отправить сертификат тем, кто хочет подтвердить вашу подпись или личность. Храните свое цифровое удостоверение в надежном месте, поскольку оно содержит ваш закрытый ключ, который другие могут использовать для расшифровки вашей информации.

Цифровые идентификаторы включают закрытый ключ, который вы защищаете, и открытый ключ (сертификат), которым вы делитесь.

Для большей части работы с PDF-файлами цифровой идентификатор не требуется. Например, вам не нужен цифровой идентификатор, чтобы создавать PDF-файлы, комментировать их и редактировать. Вам потребуется цифровое удостоверение, чтобы подписать документ или зашифровать PDF-файлы с помощью сертификата.

Самоподписанные цифровые удостоверения подходят для личного использования или малого и среднего бизнеса. Их использование должно быть ограничено сторонами, установившими взаимное доверие.

Для большинства бизнес-транзакций требуется цифровое удостоверение от доверенного стороннего поставщика, который называется центром сертификации. Поскольку центр сертификации отвечает за подтверждение вашей личности для других, выберите тот, которому доверяют крупные компании, ведущие бизнес в Интернете. На веб-сайте Adobe указаны имена партнеров Adobe по обеспечению безопасности, которые предлагают цифровые идентификаторы и другие решения для обеспечения безопасности.См. список участников, одобренных Adobe.

К сожалению, вы не сможете восстановить или сбросить пароль, если вы его забыли. Если вы создали идентификатор самостоятельно, вы можете создать новый с той же информацией, которую вы использовали для идентификатора. Если вы получили идентификатор от центра сертификации, обратитесь за помощью в этот центр.

Для конфиденциальных транзакций между предприятиями обычно требуется идентификатор от центра сертификации, а не самоподписанный идентификатор.

В Acrobat откройте меню «Правка» и выберите «Настройки» > «Подписи».

Справа нажмите "Дополнительно" для удостоверений и доверенных сертификатов.

Выберите цифровые идентификаторы слева и нажмите кнопку "Добавить идентификатор" .

Выберите вариант «Новый цифровой идентификатор, который я хочу создать сейчас» и нажмите «Далее» .

Укажите, где хранить цифровое удостоверение, и нажмите "Далее" .

Сохраняет информацию о цифровом удостоверении в файле с расширением .pfx в Windows и .p12 в Mac OS. Вы можете использовать файлы взаимозаменяемо между операционными системами. Если вы переместите файл из одной операционной системы в другую, Acrobat все равно распознает его.

Магазин сертификатов Windows (только для Windows)

Сохраняет цифровое удостоверение в обычном месте, откуда другие приложения Windows также могут его получить.

Выполните следующие действия:

Выполните следующие действия:

  1. Введите пароль для файла цифрового удостоверения. Для каждого нажатия клавиши измеритель надежности пароля оценивает ваш пароль и указывает надежность пароля с помощью цветовых шаблонов. Подтвердите свой пароль еще раз.
  2. Файл цифрового удостоверения хранится в папке по умолчанию, указанной в поле "Имя файла". Если вы хотите сохранить его в другом месте, нажмите «Обзор» и выберите место.
  3. Нажмите "Готово".

Если файл цифрового удостоверения с таким именем уже существует, вам будет предложено заменить его. Нажмите OK, чтобы заменить файл, или найдите и выберите другое место для сохранения файла.

Идентификатор создан. Вы можете экспортировать и отправить файл сертификата контактам, которые смогут использовать его для проверки вашей подписи.

Сделайте резервную копию файла цифрового удостоверения. Если ваш файл цифрового удостоверения утерян или поврежден, или если вы забыли свой пароль, вы не сможете использовать этот профиль для добавления подписей.

Чтобы использовать цифровое удостоверение личности, зарегистрируйте его в Acrobat или Reader.

В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".

Нажмите кнопку "Добавить идентификатор" .

Выберите этот вариант, если вы получили цифровое удостоверение личности в виде электронного файла. Следуйте инструкциям, чтобы выбрать файл цифрового удостоверения, введите пароль и добавьте цифровое удостоверение в список.

Перемещаемый цифровой идентификатор, хранящийся на сервере

Выберите этот вариант, чтобы использовать цифровой идентификатор, хранящийся на подписывающем сервере. При появлении запроса введите имя сервера и URL-адрес, на котором находится перемещаемый идентификатор.

Устройство, подключенное к этому компьютеру

Выберите этот вариант, если к вашему компьютеру подключен токен безопасности или аппаратный токен.

Чтобы избежать запроса на выбор цифрового удостоверения каждый раз, когда вы подписываете или сертифицируете PDF-файл, вы можете выбрать цифровое удостоверение по умолчанию.

В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".

Нажмите кнопку «Параметры использования» и выберите задачу, для которой вы хотите использовать цифровое удостоверение по умолчанию. Чтобы указать цифровой идентификатор по умолчанию для двух задач, снова нажмите кнопку «Параметры использования» и выберите второй вариант.

Перед выбранными опциями появляется галочка. Если вы выберете только вариант подписи, рядом с цифровым удостоверением появится значок «Подписать». Если вы выберете только вариант шифрования, появится значок блокировки. Если вы выберете только вариант сертификации или если вы выберете параметры подписи и сертификации, появится значок "Голубая лента" .

Чтобы очистить цифровое удостоверение по умолчанию, повторите эти шаги и отмените выбор выбранных параметров использования.

Срок действия самоподписанных цифровых удостоверений истекает через пять лет. По истечении срока действия вы можете использовать идентификатор для открытия документа, но не для подписи или шифрования.

В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".

Нажмите «Изменить пароль» . Введите старый пароль и новый пароль. Для каждого нажатия клавиши измеритель надежности пароля оценивает ваш пароль и указывает надежность пароля с помощью цветовых шаблонов. Подтвердите новый пароль и нажмите OK.

Выбрав идентификатор, нажмите кнопку Время ожидания пароля.

Появляется запрос каждый раз, когда вы используете цифровое удостоверение.

Позволяет указать интервал.

Один раз за сеанс

Появляется один раз при каждом открытии Acrobat.

Вам никогда не будет предложено ввести пароль.

Введите пароль и нажмите OK.

Обязательно сохраните свой пароль в надежном месте. Если вы потеряете свой пароль, либо создайте новый цифровой идентификатор с собственной подписью и удалите старый, либо приобретите его у стороннего поставщика.

Вы можете удалить только самозаверяющие цифровые удостоверения, созданные в Acrobat. Цифровой идентификатор, полученный от другого поставщика, нельзя удалить.

В Acrobat откройте меню «Правка» и выберите «Установки» > «Подписи». В разделе "Удостоверения и доверенные сертификаты" нажмите "Еще".

Нажмите Удалить идентификатор .

Введите пароль и нажмите OK.

Если вы забыли пароль, вы не можете удалить идентификатор отсюда. При нажатии кнопки «Удалить ИД» в диалоговом окне «Безопасность Acrobat» отображается полное расположение файла цифрового удостоверения. Перейдите в это место, удалите файл и перезапустите Acrobat. Идентификатор удаляется из списка.

Защищая свои цифровые идентификаторы, вы можете предотвратить несанкционированное использование ваших закрытых ключей для подписания или расшифровки конфиденциальных документов. Убедитесь, что у вас есть процедура на случай потери или кражи вашего цифрового удостоверения.

Как защитить свои цифровые идентификаторы

Если закрытые ключи хранятся на аппаратных токенах, смарт-картах и ​​других аппаратных устройствах, защищенных паролем или PIN-кодом, используйте надежный пароль или PIN-код. Никогда не разглашайте свой пароль другим. Если вам необходимо записать свой пароль, сохраните его в безопасном месте. Обратитесь к системному администратору за инструкциями по выбору надежного пароля. Держите пароль надежным, следуя этим правилам:

Используйте восемь или более символов.

Смешайте прописные и строчные буквы с цифрами и специальными символами.

Выберите пароль, который трудно угадать или взломать, но который можно запомнить, не записывая.

Не используйте правильно написанное слово на каком-либо языке, так как они подвержены «словарным атакам», которые могут взломать эти пароли за считанные минуты.

Регулярно меняйте пароль.

Обратитесь к системному администратору за инструкциями по выбору надежного пароля.

Чтобы защитить закрытые ключи, хранящиеся в файлах P12/PFX, используйте надежный пароль и установите соответствующие параметры времени ожидания пароля. Если вы используете файл P12 для хранения закрытых ключей, которые вы используете для подписи, используйте настройку по умолчанию для параметра времени ожидания пароля. Этот параметр гарантирует, что ваш пароль всегда требуется. Если вы используете файл P12 для хранения закрытых ключей, используемых для расшифровки документов, сделайте резервную копию своего закрытого ключа или файла P12. Вы можете использовать резервную копию закрытого ключа файла P12 для открытия зашифрованных документов, если вы потеряете свои ключи.

Механизмы, используемые для защиты закрытых ключей, хранящихся в хранилище сертификатов Windows, различаются в зависимости от компании, предоставившей хранилище. Свяжитесь с поставщиком, чтобы определить, как сделать резервную копию и защитить эти ключи от несанкционированного доступа. Как правило, используйте самый надежный из доступных механизмов аутентификации и по возможности создавайте надежный пароль или PIN-код.

Что делать, если цифровое удостоверение утеряно или украдено

Если ваше цифровое удостоверение было выдано центром сертификации, немедленно уведомите центр сертификации и запросите отзыв вашего сертификата. Кроме того, вы не должны использовать свой закрытый ключ.

Если ваше цифровое удостоверение было выпущено самостоятельно, уничтожьте закрытый ключ и уведомите всех, кому вы отправили соответствующий открытый ключ (сертификат).

Смарт-карта выглядит как кредитная карта и хранит ваш цифровой идентификатор на встроенном микропроцессорном чипе.Используйте цифровой идентификатор на смарт-карте для подписи и расшифровки документов на компьютерах, которые можно подключить к устройству чтения смарт-карт. Некоторые считыватели смарт-карт оснащены клавиатурой для ввода личного идентификационного номера (ПИН-кода).

Аналогично аппаратный токен безопасности – это небольшое устройство размером с цепочку для ключей, которое можно использовать для хранения цифровых идентификаторов и данных аутентификации. Вы можете получить доступ к своему цифровому удостоверению, подключив токен к USB-порту на компьютере или мобильном устройстве.

Если вы храните свой цифровой идентификатор на смарт-карте или аппаратном токене, подключите его к своему устройству, чтобы использовать его для подписания документов.

Читайте также: