Опубликован: 26.01.2005 | Уровень: специалист | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 7:

Инфраструктура Открытого Ключа (часть 7)

Обязательные и дополнительные криптографические алгоритмы

Клиенты, которые запрашивают сервис OCSP, должны иметь возможность обрабатывать ответы, подписанные с использованием ключей DSA. Клиенты также должны иметь возможность обрабатывать подписи RSA. Отвечающие OCSP должны поддерживать алгоритм хэширования SHA-1.

Расширения

Опишем некоторые стандартные расширения, основываясь на модели расширений, применяемой в сертификатах Х.509 v3. Поддержка всех расширений не обязательна как для клиентов, так и для Responder. Для каждого расширения укажем его синтаксис и обработку, выполняемую OCSP Responder. Также перечислим все расширения, которые включаются в соответствующий ответ.

Nonce

Nonce криптографически связывает запрос и ответ для предотвращения replay-атак. И в запросе, и в ответе nonce должен идентифицироваться идентификатором объекта id-pkix-ocsp-nonce, значением nonce является extnValue.

id-pkix-ocsp-nonce OBJECT IDENTIFIER ::= 
    { id-pkix-ocsp 2 }
Ссылки на CRL

Может потребоваться для отвечающего OCSP указать CRL, в котором можно найти отмененный или приостановленный сертификат. Это может быть полезно, когда OCSP используется для взаимодействия между репозиториями, а также в качестве механизма аудита. CRL может указываться с помощью URL (по которому CRL доступен), номера (номер CRL) или времени (время, когда соответствующий CRL был создан). Эти расширения специфицируются как singleExtensions. Идентификатор для данного расширения есть id-pkix-ocsp-crl, значением должно быть CrlID.

id-pkix-ocsp-crl OBJECT IDENTIFIER ::= 
    { id-pkix-ocsp 3 }
CrlID ::= SEQUENCE {
  crlUrl  [0] EXPLICIT IA5String OPTIONAL,
  crlNum  [1] EXPLICIT INTEGER OPTIONAL,
  crlTime [2] EXPLICIT GeneralizedTime 
      OPTIONAL }

Для crlUrl IA5String указывает URL, по которому доступен CRL. Для crlNum INTEGER определяет значение расширения номера CRL соответствующего CRL. Для crlTime GeneralizedTime определяет время, когда был выпущен соответствующий CRL.

Типы принимаемых ответов

Клиент OCSP может захотеть указать типы ответов, которые он распознает. Для того чтобы сделать это, он должен использовать расширение с OID id-pkix-ocsp-response и значением AccepttableResponses. Данное расширение включается в одно из requestExtensions в ответах. OIDs, включенные в AccepttableResponses, являются OIDs различных типов ответов, которые данный клиент может принимать (например, id-pkix-ocsp-basic ).

id-pkix-ocsp-response OBJECT IDENTIFIER ::= 
    { id-pkix-ocsp 4 }
AcceptableResponses ::= SEQUENCE OF 
    OBJECT IDENTIFIER

Как отмечалось выше, OCSP отвечающий должен уметь создавать ответы типа id-pkix-ocsp-basic. Соответственно, OCSP клиенты должны уметь получать и обрабатывать ответы типа id-pkix-ocsp-basic.

Архивное хранение

OCSP Responder может выбрать сохранение информации об отмене после истечения срока действительности сертификата. Дата, полученная путем вычитания сохраненного внутреннего значения из времени producedAt в ответе, определяется как дата архивации сертификата.

Приложения, которым требуется OCSP, должны использовать дату архивного хранения для получения доказательства того, что цифровая подпись была (или не была) надежна на момент, когда она была создана, даже если сертификат в настоящее время уже недействителен.

OCSP -серверы, которые предоставляют поддержку таких исторических ссылок, должны включать в ответы расширение данных archive cutoff. Если оно включено, то данное значение должно быть предоставлено как OCSP singleExtensions расширение, идентифицируемое id-pkix-ocsp-archive-cutoff и имеющее синтаксис GeneralizedTime.

id-pkix-ocsp-archive-cutoff OBJECT 
    IDENTIFIER ::= { id-pkix-ocsp 6 }
ArchiveCutoff ::= GeneralizedTime

В качестве иллюстрации можно привести такой пример: для сервера, функционирующего с семилетним сохранением внутренней политики, если статус некоторого сертификата был создан в момент времени t1, значение для ArchiveCutoff в ответе будет ( t1 - 7 лет).

Расположение сервиса

OCSP сервер может функционировать в режиме, в котором он получает запросы и перенаправляет их другому OCSP -серверу, про который известно, что он имеет полномочия для указанного сертификата. Для данной цели определено расширение запроса serviceLocator.

id-pkix-ocsp-service-locator OBJECT 
    IDENTIFIER ::= { id-pkix-ocsp 7 }
ServiceLocator ::= SEQUENCE {
    issuer  Name,
    locator AuthorityInfoAccessSyntax 
	    OPTIONAL 
}
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????