Кросс ШКОН-МП/2-2Л5ФЛ ССД ( 130409-00096 )

: сертификаты

Web-модель

Web-модель получила свое название, поскольку базируется на популярных браузерах Netscape Navigator и Microsoft Internet Explorer, используемых как средства навигации во Всемирной Паутине – World Wide Web.

Эта модель предусматривает встраивание в готовый браузер набора открытых ключей головных удостоверяющих центров, которым пользователь браузера может изначально “доверять” при проверке сертификатов.

Хотя браузер позволяет корректировать набор корневых ключей (удалять одни ключи и добавлять другие), очевидно, что лишь немногие пользователи имеют достаточное представление о PKI и проблемах безопасности, чтобы управлять этим режимом работы браузера.

На первый взгляд эта модель аналогична модели распределенного доверия, но по существу более похожа на модель строгой иерархии. Web-модель немедленно делает пользователя браузера доверяющей стороной всех PKI-доменов, представленных в браузере.

Для всех практических нужд каждый производитель браузера имеет свой собственный головной УЦ, сертифицирующий “головные” удостоверяющие центры, открытые ключи которых физически встроены в программное обеспечение браузера. По существу это строгая иерархия с подразумеваемым корнем, то есть производитель браузера является виртуальным головным УЦ, а уровень, находящийся ниже, образуют встроенные в браузер открытые ключи удостоверяющих центров [44].

Web-модель обладает явными преимуществами: удобством использования и простотой обеспечения функциональной совместимости. Однако при принятии решения о развертывании PKI в каждом конкретном случае следует учитывать проблемы безопасности.

Пользователи браузера автоматически доверяют всем удостоверяющим центрам, открытые ключи которых были заранее встроены в браузер, поэтому безопасность может быть полностью скомпрометирована, если хотя бы один из этих центров окажется “плохим”.

Например, пользовательА будет доверять сертификату пользователя В, даже если он содержит имя пользователяВ, но открытый ключ пользователя C, и подписан “плохим” УЦ, открытый ключ которого был встроен в браузер.

В этом случае пользовательА может непреднамеренно разгласить конфиденциальную информацию пользователю C или принять документ с его фальшивой подписью.
Причина нарушения безопасности заключается в том, что у пользователя обычно нет уверенности, какой именно корневой ключ из большого числа ключей, встроенных в браузер, участвует в проверке сертификата.

Некоторые версии наиболее популярных браузеров поддерживают порядка 100 корневых сертификатов, поэтому пользователю может быть известна лишь небольшая группа из представленных удостоверяющих центров. Кроме того, в этой модели клиентское программное обеспечение доверяет всем удостоверяющим центрам, открытые ключи которых встроены в браузер, в равной степени; таким образом, сертификат, заверенный одним из них, будет, безусловно, принят.

Отметим, что похожая ситуация может возникнуть и в некоторых других моделях доверия. Например, в модели распределенного доверияпользователь может не знать некоторый УЦ, но клиентское программное обеспечение пользователя будет доверять ключам этого центра, если соответствующий кросс-сертификат является валидным.

В модели распределенного доверияпользователь соглашается доверить своему локальному УЦ осуществление всех необходимых мер PKI-безопасности, в том числе, кросс-сертификации с “подходящими” удостоверяющими центрами.

В web-модели пользователь может приобрести браузерпо ряду причин, не имеющих ничего общего с безопасностью, поэтому не следует рассчитывать, что браузер будет иметь ключи “подходящих” в смысле безопасности удостоверяющих центров.

Если пользователь разбирается в технологии PKI (и его браузер поддерживает соответствующие функции), то может попытаться проверить, какой корневой сертификат верифицирует данный входящий сертификат.

После проверки пользователь может решить, стоит ли доверять сертификату, заверенному неизвестным УЦ. Однако даже осторожность не всегда приносит результат. Например, пользователь может знать и доверять открытому ключу УЦ АО “Сатурн”, но если “плохой” УЦ обслуживает ООО “Сатурн”, то маловероятно, что пользователь будет в состоянии отличить те сертификаты, на которые можно полагаться.

Даже если производитель браузера не использовал открытые ключи разных удостоверяющих центров с похожими названиями, нельзя исключить случай, когда пользователь примет сертификат от УЦ, который в мошеннических целях выдает себя за УЦ известной компании с хорошей репутацией.

Другая потенциальная проблема безопасности, связанная с web-моделью, кроется в отсутствии практического механизма аннулирования любого из корневых ключей, встроенных в браузер. Если обнаруживается, что один из головных удостоверяющих центров является “плохим” или его секретный ключ скомпрометирован, то практически невозможно остановить использование открытого ключа такого УЦ в миллионах и миллионах копий браузера по всему миру.

Это связано, во-первых, со сложностью уведомления всех пользователей браузеров, а во-вторых, с тем, что программное обеспечение браузера не предусматривает приема уведомлений о компрометации. Удаление скомпрометированного ключа из браузера возлагается на пользователей, причем в случае компрометации это должно быть сделано немедленно всеми пользователями браузера во всем мире.

В противном случае одни пользователи будут защищены,
в то время как другие останутся в рискованном положении. Так как удаление скомпрометированного ключа требует оперативности и соблюдения конфиденциальности, трудно ожидать, что такая операция выполнима в мировом масштабе.

Наконец, важно отметить, что web-модель не предусматривает заключения никакого юридического соглашения или договора между пользователями (доверяющими сторонами) и удостоверяющими центрами, открытые ключи которых встроены в браузер.

Так как программное обеспечение браузера часто распространяется свободно или встраивается в операционную систему, удостоверяющие центры не знают, более того, не имеют способа определить, кто является доверяющей стороной.

Пользователи даже при непосредственном контакте с УЦ не могут быть уверены, что достаточно осведомлены о потенциальных проблемах безопасности. Таким образом, независимо от обстоятельств, вся ответственность за использование корневых ключей возлагается на доверяющую сторону.

Как работает сертификат пфдо

В каждом регионе может быть свой список направлений, которые будут оплачивать сертификатами. Например, в Подмосковье это техническое, художественное, физкультурно-спортивное, военно-патриотическое, естественно-научное, культурологическое и социально-педагогическое.

У сертификата есть номинал — сумма, которую можно потратить на дополнительное образование в будущем учебном году. Ее пополняют каждое учебное полугодие. Номинал зависит от бюджета конкретного города. Например, в Балаково Саратовской области на сентябрь — декабрь 2021 года выделено 2191,6 Р.

Цену занятий в каждом кружке определяют чиновники. Она называется нормативной стоимостью образовательной услуги. Когда ребенок записывается в кружок, средства списывают с сертификата в счет оплаты. Кружков может быть несколько. Если денег на сертификате на все не хватит, родителям придется самим доплачивать остальную сумму.

У меня есть знакомые в Братске Иркутской области. С января по май 2020 года номинал сертификата у них был примерно 9800 Р. Английский обходился в 1250 Р в месяц, а индивидуальные занятия по игре на скрипке — в 1650 Р.

В Урае Ханты-Мансийского автономного округа с сентября по декабрь 2021 года номинал сертификата был 11 623,52 Р. Я не в курсе, сколько он составлял в 2021 году, но знаю стоимость кружков в это время. Если номинал остался прежним, то его хватило бы на краткий курс робототехники за 5030 Р, но не вышло бы оплатить им полный за 30 530 Р.

Как я оплатила кружок сертификатом

В августе 2020 года, перед началом учебного года, в навигаторе появился список всех кружков нашего города. Я задала в поиске муниципалитет, направленность обучения, возраст и возможность оплатить сертификатом. И быстро нашла в списке нужный кружок английского. Он уже прошел все проверки, и занятия можно было оплатить сертификатом.

Я нажала на кнопку «Записаться», и заявка ушла в образовательный центр. При этом номинал сертификата я все еще не знала. Но надеялась, что денег хватит на первое полугодие. Чтобы узнать номинал, я запросила его отдельной заявкой на странице ребенка.

Первую заявку рассматривали 3 рабочих дня. В центре проверили, есть ли у моего сына сертификат, и пригласили меня прийти. Там я заполнила два заявления — на обучение ребенка по ПФДО и на определение сертификата. А еще подписала с центром договор на предоставление образовательных услуг.

К этому времени в муниципалитете рассмотрели и вторую заявку. В личном кабинете появилась сумма — 2800 Р. Из них 1091 Р уже зарезервировали для кружка по английскому.

Пока сын занимается, с сертификата каждый месяц списывают 60,65 Р. А если он бросит кружок, я напишу заявление об отчислении, и деньги больше не будут уходить центру.

Кросс-маркетинг в ресторанном бизнесе

Ресторанный бизнес имеет немного другой вариант кросс-партнерства. Аудитория подходит любая. Предприятия общепита тесно сотрудничают с поставщиками продуктов, соусов, специй и т. д. Фирменные блюда славятся подачей, мастерством шеф-повара, особыми ингредиентами. При их заказе обычно получают «комплимент от повара» либо скидку на коктейль, десерт.

Также рестораны проводят совместные мероприятия cross- характера. В основном, это дисконтные карты, которые действуют в 2-х и более кафе, барах, бистро.

Предприятия общепита сотрудничают с организаторами праздничных мероприятий, спортивных соревнований, артистами, диджеями, вокальными исполнителями. Иногда кросс-пиаром становится кампания «лица фирмы», известного и уважаемого деятеля.

На интернет площадках часто встречаются бонус-коды, скидочные купоны и акции ресторанов, сотрудничающих с нецелевым потребителем: пользователями онлайн-игр, интернета и соцсетей, покупателями одежды, заказчиками праздничных услуг и товаров.

В основном рестораны сотрудничают с торговыми центрами, турфирмами, отелями, салонами красоты, радиостанциями. При организации детских праздников широко используются купоны и скидки на анимацию и развлекательные услуги.

Целевая аудитория ищется в зоопарках, кинотеатрах, образовательных учреждениях, океанариумах, на детских выставках.

Широкое распространение ресторанный маркетинг получает при организации профессиональных праздников или торжеств (фирмы по организации свадеб, магазины подарков и сувениров, компании по организации досуга).

Кросс-сертификация

Кросс-сертификация – это механизм связывания вместе удостоверяющих центров, ранее не имевших связей друг с другом, таким образом, что становятся возможными защищенные коммуникации между соответствующими сообществами субъектов.

Фактически механизм кросс-сертификации аналогичен механизму обычной сертификации, за исключением того, что и субъект, и издателькросс-сертификата являются удостоверяющими центрами, в то время как субъектом обычного сертификата является конечный субъект [121].

Отличия внутридоменной и междоменной сертификации зафиксированы в документе RFC 2510 [150]. Процесс называется внутридоменной кросс-сертификацией, если два удостоверяющих центра принадлежат одному и тому же домену (например, в иерархии удостоверяющих центров корпоративной PKI, где вышестоящий УЦ сертифицирует УЦ, находящийся на уровень ниже).

Кросс-сертификация может выполняться в одном или двух направлениях. Односторонняякросс-сертификация происходит тогда, когда УЦ1 выпускает кросс-сертификат для УЦ2 без одновременного выпуска УЦ2 сертификата для УЦ1.

Изданный кросс-сертификат является единственным. Односторонняя кросс-сертификация характерна для иерархической архитектуры. Альтернативой является двусторонняякросс-сертификация, когда два удостоверяющих центра выпускают кросс-сертификаты друг для друга, – в результате издаются два кросс-сертификата. Этот вариант выбирают организации, желающие обеспечить защищенные коммуникации со своими партнерами.

В соответствии с терминологией рекомендаций X.509 1997 года [77], с точки зрения УЦ1, кросс-сертификат, изданный для него (то есть такой, в котором УЦ1 является субъектом, а некоторый другой УЦ – издателем), получил название прямого кросс-сертификата ; сертификат, изданный им самим ( УЦ1 ), был назван обратным кросс-сертификатом.

Эти термины были признаны не всеми специалистами и экспертами, поэтому в новой версии рекомендаций X.509 2000 года их назвали по-другому [78]. Термин “прямой” был изменен на “изданный для данного УЦ”,
а термин “обратный” – на “изданный данным УЦ”.

Если в качестве хранилища сертификатов используется каталог X.500, соответствующие кросс-сертификаты (“изданный для данного УЦ” и “изданный данным УЦ”) могут храниться в структуре пары сертификатов в точке входа в каталог каждого из релевантных удостоверяющих центров [44]. Эта структура может применяться при построении пути сертификации (см. рис. 5.5).

Механизм кросс-сертификации может быть использован для расширения доверия между сообществами разных доверяющих сторон. В частности, кросс-сертификация между двумя удостоверяющими центрами – один из старых способов определения данным УЦ прав другого УЦ издавать сертификаты в некотором пространстве имен.

Это фундаментальный механизм расширения доверия в модели распределенного доверия, но он равно применим и к web-модели, а также к модели доверия, сконцентрированного вокруг пользователя (где каждый пользователь действует как свой собственный УЦ).

Пример 5.4. Предположим, что пользовательА был сертифицирован УЦ1 и владеет доверенной копией открытого ключаУЦ1, а пользовательВ был сертифицирован УЦ2 и владеет доверенной копией открытого ключаУЦ2.

Изначально пользовательА может доверять только тем субъектам, сертификаты которых были заверены УЦ1, потому что пользовательА способен верифицировать только эти сертификаты.

ПользовательА не может верифицировать сертификат пользователяВ, так как не владеет доверенной копией открытого ключаУЦ2 ;
аналогично – пользовательВ не имеет возможности верифицировать сертификат пользователяА.

Однако после кросс-сертификации удостоверяющих центров УЦ1 и УЦ2доверие пользователя А может быть распространено на сообщество субъектов УЦ2, включая пользователя В.

Теперь пользовательА может верифицировать сертификат УЦ2, используя свою доверенную копию открытого ключаУЦ1, а затем проверить сертификат пользователяВ при помощи своей копии открытого ключа УЦ2.

Кросс-сертификация вносит в концепцию расширения доверия особое преимущество – возможность контроля на базе стандартных дополнений, определенных для кросс-сертификатов: ограничений на имена, политику и длину пути. УЦ1 может кросс-сертифицироватьУЦ2, но ограничить некоторым образом сообщество домена УЦ2 (субъекта), которому будет доверять сообщество домена УЦ1 (доверяющей стороны).

В определенных целях доверие внутри домена УЦ1 может быть расширено на отдельных индивидуумов или на определенные группы субъектов домена УЦ2.

Такое расширение доверия под управлением администратора УЦ1
практически невозможно реализовать в web-модели или модели доверия, сконцентрированного вокруг пользователя.

В частности, используя дополнение сертификата “ограничения на имена”, УЦ1 может задать условие принятия сообществом домена УЦ1 в качестве валидных только тех сертификатов, которые выпущены УЦ2 для субъектов определенного сегмента пространства имен.

Этот сегмент пространства имен может быть ограничен отдельным пользователем, группой, отделом, целой организацией и т.п. Например, одна компания может использовать этот механизм, чтобы гарантировать принятие в качестве валидных только сертификатов сотрудников отдела закупок другой компании. Дополнение сертификата Policy Constraints (ограничения политики) позволяет управлять назначением сертификатов, например, запрещать их использование для верификации подписи на юридическом контракте.

Ограничения на длину пути в дополнении сертификата Basic Constraints (базовые ограничения) могут использоваться для регулирования количества кросс-сертификатов в валидном пути сертификации.

Например, УЦ1 может разрешить принятие сертификатов конечных субъектов, изданных УЦ2, но запретить использование сертификатов, изданных любым другим УЦ, который кросс-сертифицирован с УЦ2.

Итак, кросс-сертификация обеспечивает функциональную совместимость доменов PKI, которые невозможно связать другим образом. В качестве нежелательной альтернативы может выступать обмен ключами между головными удостоверяющими центрами и хранение каждым пользователем открытого ключа головного УЦ внешнего домена.

Модель доверия, сконцентрированного вокруг пользователя

В модели доверия, сконцентрированного вокруг пользователя, каждый пользователь полностью самостоятельно отвечает за решение, на какие сертификаты полагаться и какие сертификаты отвергать. Это решение зависит от ряда факторов, хотя первоначальный набор доверенных ключей пользователя часто состоит из открытых ключей членов семьи, друзей или коллег, с которыми пользователь знаком лично.

Пример 5.3. Доверие, сконцентрированное вокруг пользователя, иллюстрирует известная система Pretty Good Privacy (PGP) [40]. В этой системе пользователь создает так называемую сеть доверия, действуя как УЦ (подписывая открытые ключи других субъектов) и обладая собственными открытыми ключами, подписанными другими.

Когда пользовательА получает сертификат пользователяВ, заверенный цифровой подписью пользователя C, и выясняет, что сертификат пользователяC, которого А не знает, подписан пользователем D, который хорошо знаком пользователю А, то должен решить вопрос о доверии (см. рис. 5.4).

ПользовательА может решить: доверять сертификату В (на основе доверия к цепочке сертификатов от пользователя D к пользователю C и пользователю В ) или отвергнуть сертификат В, аргументируя это тем, что к “неизвестному” пользователю В ведет слишком много связей от “знакомого” пользователя D.

В силу своей зависимости от действий и решений пользователей модель доверия, сконцентрированного вокруг пользователя, может использоваться только в узком и высокотехнологичном сообществе, но она не жизнеспособна в обычном сообществе, в котором многие пользователи не имеют достаточных знаний о безопасности и технологии PKI.

Модель распределенного доверия

Модель распределенного доверия разделяет доверие между двумя или несколькими удостоверяющими центрами. Пусть пользовательА владеет копией открытого ключа своего пункта доверия – УЦ1, а пользовательВ – копией открытого ключа своего пункта доверия – УЦ2. УЦ1 – корень строгой иерархии, которая включает пользователя А, УЦ2 – корень строгой иерархии, в которую входит пользовательВ.

Если каждая из этих иерархий является неглубокой иерархией с доверенным издателем, то вместе они образуют полностью одноранговую сеть, потому что все удостоверяющие центры являются действительно независимыми одноранговыми узлами сети.

В этой архитектуре отсутствуют подчиненные удостоверяющие центры.
С другой стороны, если каждая иерархия является многоуровневой, то результат объединения иерархий имеет полностью древовидную структуру. Отметим, что головные удостоверяющие центры связаны друг с другом равноправными отношениями, но каждый головной УЦ действует как вышестоящий для одного или более подчиненных удостоверяющих центров.

Одним из вариантов архитектуры распределенного доверия может быть гибридная конфигурация с одной или более иерархиями с доверенным издателем или одним или более многоуровневыми деревьями [44]. Эта конфигурация изображена на рис. 5.2.

Обычно (хотя и не всегда) архитектура полностью одноранговой сети выбирается при развертывании PKI внутри отдельного корпоративного домена (например, внутри отдельной компании).

Полностью древовидные и гибридные архитектуры часто возникают в результате связывания независимых PKI, ранее принадлежавших разным корпоративным доменам, причем эти инфраструктуры не обязательно подчиняются общему головному УЦ.

Изолированные PKI-домены могут быть сконфигурированы разными способами, в том числе на базе строгой иерархии, архитектуры полностью одноранговой сети или любой модели доверия, обсуждающейся в данной лекции.

Процесс взаимного связывания одноранговых головных удостоверяющих центров обычно называют кросс-сертификацией , хотя в последнее время все чаще используется термин “создание сети PKI ” (в частности для полностью древовидной и гибридной архитектур).

Следует отметить, что в настоящее время специалистами изучаются и предлагаются и другие методы создания отношений доверия между PKI-доменами:

Концепция взаимного распознавания (кросс-распознавания) предложена рабочей группой по телекоммуникациям организации экономического сотрудничества стран Азиатско-Тихоокеанского региона и заключается в том, что удостоверяющие центры могут распознавать друг друга среди многих PKI-доменов, будучи аккредитованными общим аккредитационным центром или доверенной третьей стороной.

Список доверия к сертификатам (Certificate Trust List – CTL), по определению специалистов корпорации Microsoft, является заверенным цифровой подписью списком сертификатов головных удостоверяющих центров, который признается администратором корпоративной сети пригодным для выполнения аутентификации клиентов и защиты электронной почты.

Концепция сертификата аккредитации впервые появилась в проекте PKI правительства Австралии (Gatekeeper) и заключается в том, что хорошо известные и надежные удостоверяющие центры при определенных условиях ручаются за другие удостоверяющие центры [44].

Использование сертификатов аккредитации можно сравнить с односторонней кросс-сертификацией в том смысле, что аккредитационный УЦ выпускает сертификаты для всех удостоверяющих центров, которые удовлетворяют требованиям аккредитации.

При этом иерархия не поддерживается, и аккредитованные удостоверяющие центры могут быть полностью автономными субъектами. Сертификаты аккредитации можно использовать для реализации идеи взаимного распознавания.

Модель строгой иерархии удостоверяющих центров

Строгая иерархия удостоверяющих центров обычно графически изображается в виде древовидной структуры с корнем наверху и ветвями, спускающимися вниз и заканчивающимися листьями. В этом перевернутом дереве корень представляет определенный УЦ, который обычно называется корневым (или головным ) и действует как главный пункт, или корень, доверия для целого домена подчиненных ему субъектов PKI.

Под корнем располагаются промежуточные удостоверяющие центры. Промежуточные удостоверяющие центры представлены в древовидной структуре промежуточными узлами, от которых отходят следующие ветви. Листья, или конечные вершины дерева, соответствуют субъектам PKI, не являющимся удостоверяющими центрами, их называют конечными субъектами или просто конечными пользователями (см. рис. 5.1).

Термин корень имеет фундаментальный смысл. Корень является не просто начальным пунктом сети, связей или архитектуры, а начальным пунктом доверия. Все субъекты PKI (промежуточные удостоверяющие центры и конечные субъекты) владеют открытым ключом корневого (головного)

УЦ и полагаются на него как на начальный и конечный пункт доверия при верификации всех сертификатов. Этот ключ является корневым, даже если в конфигурации PKI отсутствуют промежуточные удостоверяющие центры или она выглядит как-то иначе.

В некоторых иерархиях УЦ верхнего уровня может сертифицировать не только удостоверяющие центры, но и конечные субъекты. Обычно в литературе, посвященной проблематике PKI, предполагается, что УЦ сертифицирует либо удостоверяющие центры, либо конечных субъектов (а не тех и других одновременно). В дальнейшем при изложении материала мы будем следовать этому принципу.

В модели строгой иерархии удостоверяющих центров все субъекты иерархии доверяют одному головному УЦ (будем использовать этот аналог термина “корневой” как более традиционный и понятный) [124]. Иерархия строится следующим образом.

1. Создается головной УЦ, который генерирует и подписывает сертификат для самого себя. Сертификат головного УЦ называют самоизданным (или самоподписанным ) корневым сертификатом, именно он составляет основу доверия всех субъектов данной строгой иерархии.
2. Головной УЦ сертифицирует, то есть выпускает и подписывает сертификаты для удостоверяющих центров, непосредственно ему подчиненных. Количество подчиненных удостоверяющих центров может быть и нулевым, то есть подчиненные центры могут отсутствовать.
3. Каждый из этих удостоверяющих центров сертифицирует другие удостоверяющие центры, непосредственно ему подчиненные.
4. На уровнях иерархии от второго до последнего удостоверяющие центры сертифицируют конечных субъектов.

Каждый субъект иерархии, в том числе промежуточные удостоверяющие центры и конечные субъекты, должны обладать копией открытого ключа головного УЦ. От процесса инсталляции открытого ключа зависит обработка сертификатов для всей цепочки связей в этой модели, поэтому он должен быть защищен надлежащим образом. Ключ может быть получен субъектом по физическому каналу, такому как обычная почтовая или телефонная связь, а может быть доставлен электронным способом и подтвержден через внешний механизм (например, хэш-код ключа может быть отправлен по почте, опубликован или сообщен по телефону).

Отметим, что в многоуровневой строгой иерархии конечные субъекты сертифицируются УЦ, находящимся непосредственно над ними, но их главным пунктом доверия является головной УЦ. В тех иерархиях, где отсутствуют подчиненные удостоверяющие центры, головной УЦ одновременно является издателем сертификатов всех конечных субъектов.

Пример 5.1. Рассмотрим, как конечный пользовательА, владеющий доверенной копией открытого ключа головного УЦ, может проверить подлинность, то есть верифицировать сертификат другого конечного субъекта В.

Предположим, что сертификат субъекта В подписан УЦ2, чей сертификат в свою очередь подписан УЦ1, сертификат которого заверен головным УЦ.

Субъект А при помощи открытого ключа головного УЦ – kг может верифицировать сертификат УЦ1 и извлечь доверенную копию открытого ключаУЦ1 – k1.

Затем этот ключ может быть использован для верификации сертификата УЦ2, в результате которой становится известна доверенная копия открытого ключаУЦ2 – k2Ключk2 может быть использован для верификации сертификата субъекта В и получения доверенной копии его открытого ключа – kВ.

Субъект А может теперь использовать ключkВ (в зависимости от его типа) для шифрования сообщений, адресованных субъекту В, или проверки цифровых подписей, которые создал субъект В.

Мостовая конфигурация (конфигурация hub-and-spoke)

В мостовой конфигурации каждый головной УЦ устанавливает отношения кросс-сертификации с единственным центральным УЦ, в чьи функции входит обеспечение таких взаимных связей [101].

Центральный УЦ иногда называют “втулкой” (hub), соединенной “спицами” (spoke) с различными головными удостоверяющими центрами, а иногда называют мостовым УЦ, устанавливающим связи между парами головных удостоверяющих центров.

Преимущество этой конфигурации заключается в том, что в случае полной связи требуется заключение только n -соглашений о кросс-сертификации для n -головных удостоверяющих центров, потому что каждый головной УЦ кросс-сертифицируется
только с центральным УЦ.

Мостовая конфигурация не создает иерархии, мостовой УЦ следует рассматривать как головной для всех систем, которые кросс-сертифицируются с ним. Фундаментальное различие между строгой иерархией и мостовой конфигурацией состоит в том, какими ключами владеют конечные субъекты.

В строгой иерархии все субъекты владеют доверенной копией открытого ключа головного УЦ, обеспечивающего базу для валидации пути сертификации. В мостовой конфигурации конечные субъекты не владеют открытым ключом мостового УЦ, а имеют лишь копию открытого ключа головного УЦ в своем собственном домене.

Нестрогая иерархия удостоверяющих центров

Идея строгой иерархии, когда все доверие при любых обстоятельствах базируется на корне иерархии, подходит не для всех областей PKI. “Нестрогая иерархия” удостоверяющих центров позволяет доверяющим сторонам, сертифицированным одним и тем же УЦ, строить доверенный путь, не вовлекая в этот процесс никакие вышестоящие удостоверяющие центры, в том числе головной УЦ.

Если сертификаты пользователейА и В выпущены одним и тем же УЦ2, то пользователи могут проверять сертификаты друг друга без построения пути сертификации к головному УЦ только в том случае, когда пользователи относятся к иерархии одного и того же доверенного издателя.

Однако, если сертификат пользователяC издан не УЦ2, а другим УЦ, то для проверки сертификата C пользователи А и В должны строить полный пути сертификации через головной УЦ, заверивший сертификат пользователяC.

Пример успешного внедрения

1. Закажи, скажи, сэкономь.Совершая покупку в Fix Price, клиент получает скидку 30% на такси.

Представьте ситуацию: “мамочка” выходит из магазина с полными сумками и малышом на руках. Муж на работе, а общественный транспорт – не вариант.

Как же добраться домой? Вызвать такси! Желая сэкономить семейный бюджет, дама вызывает именно то такси, которое предоставляет скидку. Что происходит далее?

Она довольная рассказывает своим друзьям, что благодаря этой привилегии, вместо 300 руб., она заплатила 210. А компания такси в этот момент получает контакт нового клиента и возможность заполучить его сердце на всю жизнь.

2. Скидка по карте. Если честно, данная акция мне не понятна по ряду причин. Нарушено одно из главных правил – одинаковая ценовая политика. Но раз сделали, возможно есть в этом смысл. Либо имиджевый, либо долгосрочный, либо это очень точный расчёт.

Прочитав заголовок: “скидки до 520 000 рублей…”, невольно задумываешься о наличии подводных камней. Я поняла, что не ошиблась, прочитав подробно все условия акции.

Оказывается, скидка суммируется с выгодой по программе Citroёn Select и услугой трейд-ин.

Конечно же, об этом люди узнают, только придя за машиной. И скидка уже вовсе не 520 000, а от силы 25 000 рублей (что, кстати, тоже хорошо, если Вы планировали покупать автомобиль).

3. Сделай покупку – получи скидку. Совершая покупку в Fix Price, клиент получает скидку 500 рублей, в ЦентрОбувь.

Ну, тут все понятно, конечно же никому не хочется упускать такую выгодную возможность купить обувь.

Совет предпринимателям: Боитесь давать большую скидку, в связи с маленькой маржинальностью? Боитесь, что люди выберут продукт за 1000 руб., а заплатят по такому купону всего 500 р.?

Для этого пропишите внизу, что подарочными рублями можно оплатить только какую-то часть от покупки. Сумму считайте уже индивидуально для себя.

4. Сделай покупку – получи подарок. Совершая единовременную покупку в Fix Price на сумму 300 и более рублей, клиент получает подарок – браслет от Sunlight стоимостью более 890 рублей.

Представьте ситуацию: женщина приходит в Fix Price за кондиционером для белья и прищепками. Сумма покупки составляет 198 рублей.

Девушка кассир неожиданно говорит “Ой, Вы знаете, а у нас сейчас проходит акция “Браслет в подарок”, купите еще 2 пачки порошка за 54 рубля и Вы сможете стать участниками акции”.

Клиент, конечно же соглашается, браслет лишним точно не будет, а порошок безусловно пригодится. Итого: вместо заявленных ранее 198руб, клиент заплатил 306 руб.

Важно. Как Вы понимаете, ценовая планка ставится исходя из среднего чека. Более подробно про средний чек можете прочитать здесь.

Двигаемся дальше. Женщина с купоном идет в Sunlight, ей конечно же дарят в подарок браслет. Казалось бы, какую выгоду имеет магазин, раздавая подарки бесплатно?

Но и тут все просто! Существование браслета фактически невозможно без прекрасных подвесок, которые также можно купить.

Нельзя не заметить, что суммарный эффект превышает результаты от использования тех же коммуникационных каналов, каждым из партнеров по отдельности и во многом сокращает затраты на печать рекламных материалов.

Важно. Выжимайте из бизнеса максимум с помощью нашей методички формата “фишечная стратегия”. В ней самый сок из сотен тренингов и книг по маркетингу и продажам. А также концентрат успешных действий. По ссылке скидка 50% в течение 4 часов, кликайте -> “Реальный маркетинг: 165 фишек 33 основы“

С чего начать внедрение

Во-первых, подбор и поиск партнеров. При этом необходимо придерживаться ряда правил:

• Сходство целевой аудитории;
• Примерно одинаковая ценовая политика;
• Продвигаемые товары или услуги не должны быть конкурирующими.

Как работать с партнерами правильно? У нас на эту тему есть целое видео, не поленитесь посмотреть его

Во-вторых, выработка цели. Зачем затевается вся заварушка. Что в результате Вы хотите получить. Причём ответ должен быть максимально конкретным и основанный на цифрах, а не на простом “увеличить продажи.”

В-третьих, проработка деталей акции. Этому пункту хотелось бы уделить особое внимание, ведь если детали не согласованы, это может привести к краху всего задуманного.

Детали акции:

1. Вариант сотрудничества;
2. Срок начала и окончания акции;
3. Обучение и мотивация персонала;
4. Рекламный носитель;
5. Затраты;
6. Результат.

Примером может послужить действующая кросс-акция, партнерами которой являются Страна профессий для детей “СуперКид” и кондитерская “Фабрика вкусной жизни Мария”.

Обратите внимание, что ниже приведён пример акции со скидкой. Но как Вы знаете, скидки работают всё хуже и хуже. Поэтому следующие листовки имели уже предложение с бесплатным пробным занятиям.

Проработке деталей акции (о которой речь шла выше) было уделено особое внимание. Для наглядности данные перенесены в таблицу:

Оказывается, не так сложно привлечь клиентов за меньшие деньги. Достаточно придерживаться определенных правил и не забывать обсудить все детали.

Ну и, конечно же, во избежание неприятных ситуаций, не забудьте заключить договор на оказание услуг, прописав в нем обязанности и ответственность сторон.

Сертификаты и декларации компании оптикстройкомплект

Четырехсторонняя модель доверия

Обоснованность четырехсторонней модели доверия была протестирована в пилотном проекте обеспечения функциональной совместимости удостоверяющих центров Национальной Ассоциации клиринговых палат (США)

[90]. Четырехсторонняя модель доверия представлена на рис. 5.3. В качестве четырех сторон в модели выступают подписчик, доверяющая сторона и удостоверяющие центры подписчика и доверяющей стороны.

На первый взгляд может показаться, что эта модель не отличается от более традиционной web-модели, включающей подписчика, доверяющую сторону и УЦ подписчика. Однако главное отличие четырехсторонней модели заключается в том, что доверяющая сторона при принятии решения относительно конкретной транзакции всегда зависит от своего выпускающего УЦ.

Пример 5.2. Рассмотрим приобретение товара покупателем через коммерческий web-сайт. Как только покупатель принимает решение о покупке, то заполняет онлайновый запрос, подписывает его цифровой подписью и отправляет на web-сайт продавца.

Оттуда запрос пересылается в банк продавца для одобрения. Любая проверка юридической значимости и статуса сертификата, одобрение кредита и т.п. должны выполняться банком, а не самим продавцом.