Я хотел бы вспомнить теорию, чтобы разобраться в планируемом проекте электронного документооборота.

У меня и моего контрагента будут сертификаты ЭЦП, полученные от УЦ.

Помогите мне вспомнить что есть что.

Я приобретаю Криптопро СSP.
Устанавливаю его на свой компьютер.
При получении ЭЦП я получу на мой еToken-ЭЦП - сгенерированный в нем мой закрытый ключ  и открытый ключ в каком формате?
В каком формате будет мой сертификат?
В каком формате будет сертификат УЦ?

Я  должен сделать  запрос на получение сертификата на своем компьютере и принести в УЦ файл, например в формате p.10 или это будет сделано В УЦ, на мой eToken?

Что будет представлять собой ЭЦП? Файл с расширением sig, отправляемый дополнительно моему контрагенту?
Из чего он состоит? Из hash моего сообщения эл. почты, который подписан моим закрытым ключом?
Так как файл sig зашифрован моим закрытым ключом, но никто не сможет его изменить кроме меня?

Как контрагент проверит ЭЦП? Для этого я ему должен буду переслать свой сертификат?

Сертификат, представляет собой мой открытый ключ + атрибуты, информация,  подписанные закрытым ключом УЦ – верно?
При этом программные утилиты ОС могут только просмотреть данные с сертификата, но изменить его нельзя, т.к он зашифрован закрытым ключом УЦ или можно, а он только подписан, но не зашифрован, т.е имеет ЭЦП УЦ, которая проверяется при помощи сертификата корневого УЦ
Т.е контрагент сможет проверить мой сертификат при помощи сертификата УЦ в котором есть  открытый ключ УЦ, подписанный корневым УЦ.

Но для этого ему нужно иметь сертификат моего УЦ.  Я его ему тоже должен буду отправлять?

Сертификат моего УЦ он может проверить при помощи сертификата корневого УЦ.

Далее имея сертификат моего УЦ, он может проверить мой сертификат при помощи открытого ключа моего УЦ, т.к мой сертификат подписан закрытым ключом моего УЦ.
Но как извлекается открытый ключ моего УЦ из его сертификата, если он подписан (зашифрован) закрытым ключом моего УЦ, Или подписан, имеется ввиду, что содержит ЭЦП УЦ, сам открытый ключ при этом не зашифрован, а зашифрован только его hash.
Вот здесь мне нужно знать формат сертификата из чего и как он состоит. Ищу в интернете, везде общие фразы, а мне нужны технические подробности по организации файла, его состава, взаимодействия с утилитами и т.д.
Т.е на профессиональном техническом уровне администратора, специалиста по инф. безопасности.
Буду признателен за ссылки на лучшую техническую информацию, можно и на англ.языке, может там не будет пустых фраз для "блондинок"

Далее он проверяет ЭЦП файла использую открытый ключ из моего сертификата.

Но каким образом он получает мой сертификат?

сейчас посмотрю ссылки, спасибо, но кажется я уже тоже разобрался, почитав про x509, единственное осталось непонятным, мне нужно пересылать вместе с сообщением свой сертификат контраагенту?

итак: сертификат подписан закрытым ключом УЦ, содержит внутри мой открытый ключ.
Я проверю ЭЦП УЦ, который подписан закрытым ключом корневого УЦ, если есть сертификат корневого УЦ, в нем есть его открытый ключ.
Если мой УЦ корневой, то остается ему только доверять.
из моего сертификата берется мой открытый ключ,и им расшифровывается эцп сообщения, - hash значение сообщения, зашифрованное моим закрытым ключом. Сравнивается с hash оригинального сообщения и подтверждается подлинность при совпадении значений hash.
Осталось разобраться с передачей самого моего сертификата контрагенту при помощи СMS и можно считать тему закрытой, а мои знания восполненными.
Контрагент получил мой сертификат, он может проверить при помощи моего открытого ключа эцп сообщения, но как он проверяет подлинность самого сертификата? Он подписан закрытым ключом моего УЦ. Контрагент проверит ЭЦП моего сертификата сертификатом корневого УЦ, а если мой УЦ корневой, то контрагент никак не может проверить подлинность этого сертификата, он скачивает этот сертификат с сайта корневого УЦ и проверяет им эцп моего сертификата. Все правильно, а то я с непривычки запутался в этой цепочке сертификатов. Т.е эцп каждого последующего сертификата проверяется открытым ключом из сертификата УЦ более высокого иерархического уровня,доходя до сертификата самого нижнего уровня, т.е сертификата пользователя, но как я понял их обычно бывает только два или три: УЦ, - который генерирует сертификаты сам, или его агент, и корневой УЦ.

Отредактировано пользователем 28 марта 2015 г. 2:22:23(UTC)  | Причина: Не указана

о, это еще дополнение к моему ликбезу. Обмен сертификатами с друг-другом. А как его предпочтительнее делать, так как Вы написали при помощи почтового агента, или отправлять просто в открытом виде как файл. Или для повышения безопасности зашифровав его сторонней криптографией, типа архива с паролем и передав пароль для расшифровки например при помощи sms. Но вроде как если мой сертификат подписан УЦ, то бояться каких-либо атак на подмен сертификата не стоит и сертификатами отправитель и получатель могут просто обменяться в открытой переписке. Ведь в этом же и смысл ассиметричной криптографии, что есть открытый, свободно распространяемый ключ.