Стандарты и спецификации PKI

RFC 1777: Lightweight Directory Access
Protocol

RFC 1823: The LDAP Application Program
Interface

RFC 2251: Lightweight Directory Access
Protocol (v3)

RFC 2252: Lightweight Directory Access
Protocol (v3): Attribute definition

RFC 2253: Lightweight Directory Access
LDAP
Protocol (v3): UTF-8 String
Representation of Distinguished Names

RFC 2254: Lightweight Directory Access
Protocol (v3) The String
Representation of LDAP Search Filters

RFC 2255: Lightweight Directory Access
Protocol (v3) The LDAP URL Format

RFC 2311 
S/MIME Version 2 Message Specification

RFC 2312 
S/MIMEv2 Certificate Handling

RFC 2630 
Cryptographic Message Syntax (CMS)

RFC 2632 
S/MIME V3 Certificate Handling

RFC 2633 
S/MIME V3 Message Specification

S/MIMERFC 2634 
Enhanced Security Services for S/MIME

RFC 2785 
Methods for Avoiding the "Small-
Subgroup" Attacks on the Diffie-Hellman
Key Agreement Method for S/MIME

RFC 3369 S/MIME Cryptographic Message
Syntax

RFC 2246 
TLS Protocol Version 1.0

RFC 2659 
Security Extensions For HTML

RFC 2660 
S/HTTP TLS
The Secure HyperText Transfer Protocol

RFC 2817 
Upgrading to TLS Within HTTP

RFC 2818 
HTTP Over TLS

RFC 2401 
Security Architecture for the Internet
Protocol

RFC 2402 
IP Authentication Header

IPsecRFC 2406
IP Encapsulating Security Payload (ESP)

RFC 2408
Internet Security Association and Key
Management Protocol (ISAKMP)

RFC 2137
Secure Domain Name System Dynamic Update

RFC 2535
Domain Name System Security Extensions

RFC 2536 
DSA KEYs and SIGs in the Domain Name
System

RFC 2537 
RSA/MD5 KEYs and SIGs in the Domain
Name System

DNSRFC 2538
Storing Certificates in the Domain
Name System

RFC 2539
Storage of Diffie-Hellman Keys in the
Domain Name System

RFC 2540
Detached Domain Name System Information

RFC 2541
DNS Security Operational Considerations

Secure Electronic Transaction 
Specification The Business Description

Secure Electronic Transaction 
The Specification Programmer's Guide
SET

Secure Electronic Transaction 
Specification Formal Protocol Definition

Рис. 15.1. Взаимосвязь стандартов в области PKI

Стандарты семейства IPsec описывают архитектуру безопасности Интернет-протоколов (IP), регламентируют контроль целостности на уровне IP-пакетов, аутентификацию источника данных и защиту от воспроизведения ранее посланных IP-пакетов, обеспечение конфиденциальности при помощи шифрования содержимого IP-пакетов, а также частичную защиту от анализа трафика путем применения туннельного режима [216]. Документы RFC, относящиеся к IPsec, содержат описания протокола аутентифицирующего заголовка, протокола инкапсулирующей защиты содержимого IP-пакетов и протокола управления ключами и контекстами безопасности. Стандарты IPsec обеспечивают конфиденциальность, целостность и достоверность данных, передаваемых через открытые IP-сети.

Стандарты DNS определяют механизмы, обеспечивающие безопасность данных инфраструктуры системы доменных имен DNS. Документы описывают операционные требования безопасности системы, методы хранения сертификатов и ключей Диффи-Хэллмана, динамическое обновление защищенной системы DNS, механизм защиты передаваемых данных с помощью алгоритма MD5, DSA и RSA-ключей и цифровых подписей. Для обеспечения достоверной передачи DNS-данных в масштабе Интернета в систему DNS вводятся расширения DNSSEC, задаваемые соответствующим стандартом.

Спецификация SET предлагает инфраструктуру для защиты от подделок платежных карт, используемых для транзакций электронной коммерции в Интернете, описывает систему аутентификации участников расчетов, которая базируется на PKI [2]. Принципы SET излагаются в трех книгах, содержащих сведения о правилах ведения бизнеса на базе защищенных электронных транзакций, руководство программиста и формальное описание протокола SET. Рис. 15.1 иллюстрирует взаимосвязь стандартов в области PKI [10].

Итак, базой для разработки стандартов в области PKI стали стандарты серии X.500 (хотя не все их наименования начинаются с X.5xx) Международного союза электросвязи (ITU), предложившие стандартную структуру баз данных, записи в которых содержали информацию о пользователях [3]. Стандарт X.509 ITU-T является фундаментальным стандартом, который лежит в основе всех остальных, используемых в PKI. Однако X.509 ITU-T не описывает полностью технологию PKI. В целях применения стандартов X.509 в повседневной практике комитеты по стандартизации, пользователи, поставщики программных продуктов и сервисов PKI обращаются к семейству стандартов PKIX.