Certificati digitali
L'autenticazione è fondamentale per proteggere le comunicazioni. Gli utenti devono essere in grado di dimostrare la loro identità a coloro con cui comunicano e devono essere in grado di verificare l'identità degli altri. L'autenticazione dell'identità su una rete è un processo complesso poiché in questo tipo di comunicazione non esiste un riscontro fisico tra i partecipanti. Ciò potrebbe dar modo a soggetti malintenzionati di intercettare i messaggi o assumere l'identità di un'altra persona o entità. Un metodo deve essere elaborato per mantenere il livello di attendibilità necessario all'interno del processo di comunicazione.
Il certificato digitale è una credenziale comune che fornisce un mezzo per verificare l'identità. Questa sezione offre una panoramica del modo in cui i certificati forniscono comunicazioni sicure e come usare CryptoAPI per usare e gestire tali certificati.
Un certificato è un set di dati che identifica un'entità. Un'organizzazione attendibile assegna un certificato a un singolo utente o a un'entità che associa una chiave pubblica alla singola persona. Il singolo o l'entità a cui viene rilasciato un certificato viene chiamato oggetto di tale certificato. L'organizzazione attendibile che rilascia il certificato è un'autorità di certificazione (CA) ed è nota come autorità emittente del certificato. Una CA attendibile emetterà solo un certificato dopo aver verificato l'identità dell'oggetto del certificato.
I certificati usano tecniche di crittografia per risolvere il problema della mancanza di contatto fisico tra tali comunicazioni. L'uso di queste tecniche limita la possibilità di intercettare, modificare o falsificare messaggi di una persona non etica. Queste tecniche crittografiche rendono i certificati difficili da modificare. Pertanto, è difficile per un'entità rappresentare un altro utente.
I dati in un certificato includono la chiave crittografica pubblica dalla coppia di chiavi pubblica/privata dell'oggetto del certificato. Un messaggio firmato con la chiave privata del mittente può essere recuperato solo dal destinatario del messaggio usando la chiave pubblica del mittente. Questa chiave è disponibile in una copia del certificato del mittente. Il recupero di una firma con una chiave pubblica da un certificato dimostra che la firma è stata prodotta usando la chiave privata dell'oggetto del certificato. Se il mittente è stato vigile e ha mantenuto il segreto della chiave privata, il ricevitore può essere sicuro dell'identità del mittente del messaggio.
In una rete è spesso presente un'applicazione attendibile nota come server di certificato. Una CA in esecuzione in un computer sicuro gestisce il server di certificati. Questa applicazione ha accesso alla chiave pubblica di tutti i client. I server certificati dispensano messaggi noti come certificati, ognuno dei quali contiene la chiave pubblica di uno degli utenti client. Ogni certificato viene firmato con la chiave privata della CA. Pertanto, il ricevitore di tale certificato può verificare che una CA specificata l'ha inviata.
I certificati digitali includono anche estensioni e proprietà estese che forniscono informazioni aggiuntive sull'oggetto del certificato, ad esempio l'indirizzo di posta elettronica dell'oggetto e le attività che l'oggetto del certificato può eseguire.