| почему нет предупреждения о нескольких вариантах ответа? |
Преподаватель
Вы можете этот курс.
Опубликован: 15.11.2006 | Уровень: специалист | Доступ: свободно
Лекция 15:
Стандарты и спецификации PKI
Аннотация: Приводится классификация стандартов в области PKI, дается краткая характеристика каждой группы стандартов, подробно рассматриваются стандарты Internet X.509 PKI (PKIX), обсуждается терминология и концепции PKIX, дается представление о направлениях стандартизации в области PKI, приводятся примеры национальных и международных инициатив по обеспечению функциональной совместимости PKI-продуктов.
Ключевые слова: PKI, ITU, international, telecommunications, UNION, ISO, standardization, группа инженерной поддержки Интернета, сильная аутентификация, синтаксис, abstract, syntax notation, ONE, ASN.1, OSI, OPEN, system, interconnection, имя пользователя, криптографический ключ, OID, группа, политика применения сертификатов, LDAP, атрибутный сертификат, статус сертификата, метки времени, PKCS, public, cryptography, RSA, security, DEC, SUN, MIT, эллиптические кривые, инфраструктура открытых ключей, протоколы управления, онлайновый протокол статуса сертификата, управление сертификатами, профиль сертификата, аннулирование сертификатов, прикладной программный интерфейс, PCMCIA, алгоритм, S/MIME, HTTP, TLS, DNS, set, системы аутентификации, secure, multipurpose, Internet, mail, метки безопасности, протокол передачи гипертекста, протокол безопасности транспортного уровня, открытый стандарт, SSL, layer, защита коммуникаций, конфиденциальность, целостность, сервер, подделка сообщений, взаимная аутентификация, архитектура безопасности, протокол аутентифицирующего заголовка, протокол инкапсулирующей защиты содержимого, контекст безопасности, DSA, операционные требования, Интернет, IP, контроль, анализ трафика, RFC, достоверность, механизмы, безопасность данных, MD5, DNSSEC, протокол SET, инфраструктура управления привилегиями, сертификат открытого ключа, аутентификация источника данных, идентичность субъекта, Certification Authority, CPS, RA, регистрационный центр, party, subordinate, период действия, удостоверяющий центр, выпуск сертификатов, список аннулированных сертификатов, операционные протоколы, кросс-сертификация, кросс-сертификат, CRL, основной синтаксис, шифрование открытым ключом, алгоритм RSA, OCSP, data validation, proof, TSP, функциональная совместимость, качество стандартов, профиль стандарта, тестирование функциональной совместимости, demonstration, спецификация минимальной функциональной совместимости, модель доверия, путь сертификации, federation, interoperability, in-house, pilot, digital signature, DST, пилотный проект, OCSP-респондер, CMC
Стандарты в области PKI
Стандарты играют существенную роль в развертывании и использовании PKI. Стандартизация в этой сфере позволяет разным приложениям взаимодействовать между собой с использованием единой PKI [219]. Стандарты в области PKI можно разбить на четыре группы, каждая из которых относится к определенному технологическому сегменту, необходимому для создания PKI.
К первой группе (см. табл. 15.1) можно отнести стандарты серии X, подготовленные Международным Союзом по телекоммуникациям - ITU (International Telecommunications Union), и стандарты Международной организации стандартизации - ISO (International Organization for Standardization), относящиеся к PKI [10]. Они признаны в международном масштабе, содержат описания концепций, моделей и сервиса каталога (X.500) и формализуют процедуру аутентификации (X.509). Стандарт X.509 первоначально предназначался для спецификации аутентификации при использовании в составе сервисов каталога X.500. С течением времени X.509 претерпел ряд изменений, и его последняя (третья) версия была стандартизована группой инженерной поддержки Интернета - Internet Engineering Task Force (IETF). Документ X.509 регулирует хранение информации в каталоге и получение данных аутентификации. Он характеризует криптосистему с открытым ключом как метод сильной аутентификации, который базируется на создании, управлении и свободном доступе к сертификату, связывающему субъекта (пользователя) с его открытым ключом. Синтаксис сертификатов формата Х.509 выражается с помощью особой нотации, так называемой абстрактной синтаксической нотации версии 1 (Abstract Syntax Notation One - ASN.1), которая была предложена комитетом разработчиков стандартов взаимодействия открытых систем OSI (Open System Interconnection) для использования с протоколами X.500. ASN.1 описывает синтаксис различных структур данных, вводя примитивные объекты и средства описания их комбинаций [2]. Форматы электронного сертификата и САС, предложенные X.509, фактически признаны стандартом и получили всеобщее распространение независимо от X.500. Как показало время, наиболее ценной в стандарте X.509 оказалась не сама процедура, а ее служебный элемент - структура сертификата, содержащая имя пользователя, криптографические ключи и сопутствующую информацию [6].
Стандарты второй группы (см. табл. 15.2) разработаны основным центром по выпуску согласованных стандартов в области PKI - рабочей группой организации IETF, известной как группа PKIX (от сокращения PKI for X.509 certificates) [10]. Документы PKIX определяют политику применения сертификатов и структуру регламента УЦ, форматы, алгоритмы и идентификаторы сертификата и САС X.509, схему поддержки PKIX в среде LDAP v2, форматы атрибутных сертификатов и сертификатов ограниченного пользования, описывают протоколы статуса сертификатов, запроса на сертификацию, проставления метки времени, эксплуатационные протоколы PKI.
Третью группу образуют стандарты криптографии с открытыми ключами PKCS (Public Key Cryptography Standards), разработанные компанией RSA Security Inc. [102] совместно с неофициальным консорциумом, в состав которого входили компании Apple, Microsoft, DEC, Lotus, Sun и MIT. Документы PKCS признаны симпозиумом разработчиков стандартов взаимодействия открытых систем методом реализации стандартов OSI (Open System Interconnection). Стандарты PKCS (см. табл. 15.3) обеспечивают поддержку криптографических процессов при выполнении защищенного шифрованием информационного обмена между субъектами. Стандарты PKCS ориентированы на двоичные и ASCII-данные и совместимы со стандартом ITU-T X.509. В PKCS входят алгоритмически зависимые и независимые реализации стандартов [217]. Многие из них опираются на систему шифрования с открытыми ключами RSA, названную по инициалам авторов Ривеста, Шамира и Адльмана, метод эллиптических кривых и метод согласования ключей Диффи-Хэллмана, подробно описанные в трех соответствующих криптографических стандартах.
