| почему нет предупреждения о нескольких вариантах ответа? |
Преподаватель
Вы можете этот курс.
Опубликован: 15.11.2006 | Уровень: специалист | Доступ: свободно
Лекция 6:
Сертификаты открытых ключей
Аннотация: Описывается формат сертификата открытого ключа, дается краткая характеристика обязательных и опциональных полей сертификата, подробно рассматриваются ограничивающие и информационные дополнения сертификата, обсуждаются альтернативные форматы сертификатов, объясняются принципы функционирования простой инфраструктуры открытых ключей, систем PGP и SET, дается представление об атрибутных сертификатах.
Ключевые слова: сертификат открытого ключа, ITU, RFC, certificate, CRL, internet engineering task force, IETF, Интернет, политика безопасности, PKI, издатель сертификата, serial number, issuer, период действия, субъект сертификата, поле, синтаксис, идентификатор, ЭЦП, отличительное имя, возобновление сертификата, keyUsage, аннулирование сертификатов, CertificatePolicies, политика применения сертификатов, уникальный идентификатор объекта, OID, путь сертификации, PolicyConstraints, идентификатор политики, subjectAltName, альтернативное имя, EDI, унифицированный указатель, открытый ключ, значение, верификация цифровой подписи, unique identifier, профиль сертификата, информация, валидность, Дополнение, признак критичности дополнения, приложение, ограничивающие дополнения, информационные дополнения, пользователь сертификата, authorized access, directory attribute, протокол SET, пользователь, удостоверяющий центр, URI, ключ, пункт, uniform, resource, identifier, криптографический модуль, object identifier, выпуск сертификатов, ущерб, корпорация, ACE, ABC, кросс-сертификация, кросс-сертификат, функциональная совместимость, конфигурирование, надежность, множества, сертификация, домен, CPS, уникальный идентификатор ресурсов, сертификат SPKI, система pretty good privacy, атрибутный сертификат, простая инфраструктура открытых ключей, сертификат авторизации, SDSI, хэш-код, PGP, message format, тройной DES, сеансовый ключ, алгоритм RSA, DSA, уровень доверия, распределение доверия, модель доверия, сертификат Х.509 v3, системы аутентификации, мандат, иерархия доверия, сервис аутентификации
Формат сертификатов открытых ключей X.509
Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) [78] и документе RFC 3280 Certificate & CRL Profile [167] организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). IETF является открытым интернациональным сообществом исследователей, разработчиков сетевых протоколов, операторов и производителей, занимающихся проблемами развития сетей Интернет и обеспечением непрерывного функционирования существующей инфраструктуры. В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе. Несмотря на то, что документ RFC 3820 адресован Интернет-сообществу, формат сертификата открытого ключа предоставляет гибкий механизм передачи разнообразной информации и применяется в корпоративных PKI.
Сертификат открытого ключа подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата (см. рис. 6.1 и табл. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:
- серийный номер сертификата Certificate Serial Number ;
- идентификатор алгоритма подписи Signature Algorithm Identifier ;
- имя издателя Issuer Name ;
- период действия Validity (Not Before/After) ;
- открытый ключ субъекта Subject Public Key Information ;
- имя субъекта сертификата Subject Name.
Под субъектом сертификата понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена на рис. 6.1.
Поле Version (см. табл. 6.1) задает синтаксис сертификата, по умолчанию предполагается первая версия сертификата. Если в поле версии указывается 2, то сертификат содержит только уникальные идентификаторы, а если 3, то в сертификат включаются и уникальные идентификаторы, и дополнения, что характерно для всех современных сертификатов. Сертификаты первой версии не содержат уникальные идентификаторы или дополнения.
Издатель сертификатов присваивает каждому выпускаемому сертификату серийный номер Certificate Serial Number, который должен быть уникален. Комбинация имени издателя и серийного номера однозначно идентифицирует каждый сертификат.
В поле Signature Аlgorithm Identifier указывается идентификатор алгоритма ЭЦП, который использовался издателем сертификата для подписи сертификата, например ГОСТ Р 34.10-94 (см. рис. 6.2).
Поле Issuer Name содержит отличительное имя (формата X.500) третьей доверенной стороны, то есть издателя, который выпустил этот сертификат. В поле Validity (Not Before/After) указываются даты начала и окончания периода действия сертификата.
Поле Subject Name содержит отличительное имя субъекта, то есть владельца секретного ключа, соответствующего открытому ключу данного сертификата. Субъектом сертификата может выступать УЦ, РЦ или конечный субъект.
