Цифровая подпись и шифрование сообщений
Для того, чтобы воспользоваться возможностями шифрования и цифровой подписи сообщений, в составе организации должен быть настроен сервер управления ключами, Key Management (KM) Server. KM использует технологию открытых ключей. Открытый ключ пользователя хранится в адресной книге, секретный ключ - в файле .EPF на его локальном диске. Шифрование и подпись выполняется с использованием разных пар ключей. Для того, чтобы открытые ключи пользователя могли трактоваться как истинные, KM ассоциирует с каждым открытым ключом сертификат, содержащий уникальный номер, имя сервера ключей, имя пользователя и дату истечения срока сертификата. Дополнительно KM создает список отозванных сертификатов, который распространяется вместе с адресной книгой (revocation list). Если пользовательский сертификат оказывается отозванным, принимающая сторона получает соответствующее предупреждение при попытке проверить цифровую подпись.
При шифровании сначала используется секретный ключ для генерации другого ключа, которым будет кодироваться сообщение (bulk encryption key). Затем bulk encryption key в свою очередь шифруется открытым ключом адресата и отправляется вместе с зашифрованным сообщением (рисунок 40).
Рис. 39. Процесс шифрования сообщения
Принимающая сторона использует свой секретный ключ для получения своего ключа дешифрации сообщения и расшифровывает им сообщение (рисунок 6.40).
Рис. 40. Чтение зашифрованного сообщения
Процесс создания цифровой подписи на сообщении и процесс её верификации отражены на рисунках 41 и 42. Изначально создается цифровая характеристика сообщения (собственно подпись), затем она шифруется секретным ключом пользователя. Текст сообщения, цифровая подпись и сертификат пользователя отправляются адресату. Принимающая сторона создаёт собственную версию цифровой подписи, расшифровывает открытым ключом автора приложенную цифровую подпись и затем их сравнивает. Совпадение цифровых подписей гарантирует, что сообщение не было изменено в процессе передачи.
Рис. 41. Отправка сообщения, содержащего цифровую подпись
Рис. 42. Проверка цифровой подписи
Для версии, экспортируемой за пределы США длина ключа шифрования равна 40 битам, для цифровой подписи 512 битам, используемый алгоритм называется CAST-40. Для того чтобы пользователи всей организации могли использовать цифровую подпись и шифрование, каждая площадка в момент генерации ключей пользователей должна иметь непосредственный доступ по одному из сетевых протоколов к серверу ключей.