Есть ли способ создать собственную пару сертификатов? Я не понимаю, зачем мне нужен доверенный CA для электронной почты. Я бы предпочел сертификат, чем использовать GPG или что-то в этом роде.
решение1
Самоподписанная пара ключей? Пара сертификатов? Вы бы предпочли использовать сертификат, а не GPG?
То, как вы задали свой вопрос, свидетельствует о том, что у вас смутное представление о том, как соотносятся друг с другом пары открытых/закрытых ключей и сертификаты.
- Обычно вы не подписываете (по крайней мере, не подписываете самостоятельно) ключи, вы подписываете сертификаты.
- Ключи поставляются парами, сертификаты — нет.
- Наличие самоподписанного сертификата как бы сводит на нет преимущество сертификатов перед несертифицированными парами ключей.
Позвольте мне объяснить. Если вы хотите использовать пару открытого/закрытого ключа с электронной почтой, это обычно означает, что у вас есть одна или обе из этих основных целей:
- Вы хотите иметь возможность подписывать некоторые или все свои электронные письма своим закрытым ключом, чтобы ваши корреспонденты могли убедиться, что ваши электронные письма действительно пришли от вас и не были изменены при передаче.
- Вы хотите, чтобы ваши корреспонденты шифровали некоторые или все электронные письма для вас с помощью вашего открытого ключа, чтобы только вы могли прочитать содержимое этих писем.
Это хорошо, но есть одна большая проблема. Чтобы это работало, вам нужно, чтобы ваши корреспонденты могли получить ваш открытый ключ, и убедиться, что он действительнотвойоткрытый ключ, а не самозванец.
Одним из способов решения этой проблемы было бы отправить свой открытый ключ каждому из ваших корреспондентов через доверенный носитель и попросить их установить этот открытый ключ в их программном обеспечении безопасности электронной почты для использования с сообщениями, которые вы получаете/от вас. Это может сработать, но это требует много работы по настройке как с вашей стороны, так и с ваших корреспондентов, и эта работа по настройке должна быть выполнена заранее для каждого корреспондента, прежде чем они смогут безопасно отправлять вам электронные письма.
Чтобы упростить задачу, было бы неплохо, если бы существовала возможность опубликовать ваш открытый ключ таким образом, чтобы любой новый потенциальный получатель вашей электронной почты мог автоматически извлечь его с помощью своего программного обеспечения и при этом быть уверенным, что он ваш.
Существуют два хорошо известных решения проблемы публикации ключей надежным способом: сеть доверия PGP/GPG и инфраструктура открытых ключей на основе сертификатов (PKI).
В сети доверия GPG вы публикуете свой открытый ключ в системе сети доверия GPG, и другие знакомые вам люди подтверждают его подлинность, отмечая ваш ключ как доверенный (подписывая его своими собственными закрытыми ключами). Затем, когда кто-то захочет отправить вам безопасное электронное письмо, он может получить ваш открытый ключ из системы сети доверия, посмотреть, кто за него поручился, решить, доверять ли ему, и если да, использовать его для шифрования сообщений, которые он вам отправляет.
В PKI на основе сертификатов у вас есть известный CA, который подтверждает подлинность вашего открытого ключа, связывая ваш открытый ключ с некоторой идентифицирующей информацией о вас, а затем подписывая этот пакет. Этот подписанный пакет вашей идентификационной информации плюс ваш открытый ключ и есть ваш сертификат. Вы можете публиковать этот сертификат повсюду и даже прикреплять его к своим электронным письмам, и ваши корреспонденты, если они доверяют этому CA, могут принять слово CA о том, что этот сертификат показывает настоящий открытый ключ для человека, указанного в сертификате.
Итак, если вы создаете самоподписанный сертификат, вы создаете нечто, что не более надежно, чем голый открытый ключ, потому что никто, кроме вас, за это не поручится. Ни ваши друзья (GPG web of trust), ни пользующееся доверием публичное агентство (CA). Вы и ваши корреспонденты взяли бы на себя ответственность за то, чтобы убедиться, что ваш открытый ключ действительно является вашим открытым ключом.
Так если вы сводите на нет смысл сертификата, подписываясь самостоятельно, то зачем вообще беспокоиться?