LINEBURG


<< Пред. стр.

страница 9
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

notAfter окончания действия
subject Уникальное имя субъекта
Информация об открытом ключе субъ-
SubjectPublicKeylnfo
екта Криптографический алгоритм
Algorithm subj
Ключ (строка битов)
ectPublicKey

Уникальный идентификатор центра,
issuerUniquelD
выпускающего сертификат
Версия v2




subjectUniquelD Уникальный идентификатор субъекта

AuthorityKeyldentifier Идентификатор ключа УЦ
keyldentifier Идентификатор ключа Общее
authorityCertlssuer название УЦ Серийный номер
authorityCertSerialNum- сертификата УЦ
ber

Идентификатор, используемый тогда,
subjectKeyldentifier
когда субъект имеет более одного ключа
Версия v3




(например, во время возобновления
сертификата)
Применение ключа (строки битов) 1.
keyUsage
Формирование и проверка цифровой
digitalSignature
подписи 2. Неотказуемость 3.
nonRepudiation
Шифрование других ключей 4.
keyEncipherment
Шифрование и расшифрование данных
dataEncipherment
и контроль целостности с исполь-
зованием имитозащиты.




PDF created with pdfFactory Pro trial version www.pdffactory.com
4. Структуры данных PKI 73


Продолжение таблицы 4.1
Элемент Описание

keyllsage Применение ключа (строки битов) 5.
Формирование других ключей (например,
key Agreement по алгоритму Диффи-Хелмана) 6.
Формирование ЭЦП сертификатов.
KeyCertSign Может использоваться УЦ 7.
Формирование ЭЦП С АС. Может ис-
CRLSign пользоваться УЦ 8. Только для
шифрования 9. Только для
EncipherOnly
расшифрования
DecipherOnly
Период действия секретного ключа под-
privateKeyUsagePeriod
писи УЦ
PoIicyMappings Используется только для сертификата УЦ.
IssuerDomainPolicy Оговаривает, что политики применения
Subj ectDomainPolicy сертификатов издателя и субъекта
одинаковы
SupportedAlgorithms Определяют атрибуты каталога. Исполь-
Algorithmldentifier зуются, чтобы сделать атрибуты извест-
Версия v3




IntendedUsage ными заранее в случаях, когда партнер по
intendedCertificatePolicies связи использует данные каталога
Альтернативное имя субъекта. Свобод-
SubjectAltName
ный выбор имени. Произвольное имя
OtherName rfc822Name
Адрес электронной почты Имя домена
dNSName x400Address
Адрес отправителя/получателя Имя
directoryName
каталога EDI-имя Унифицированный
ediPartyNarae
указатель ресурсов WWWURL IP-адрес
uniformResourceldentifier
Зарегистриров. Ш объекта
IP Address registeredID




issuer AltName Альтернативное имя издателя
Необязательные атрибуты субъекта, на-
subjectDirectory
пример, почтовый адрес, номер телефона и
Attributes
т.п.




PDF created with pdfFactory Pro trial version www.pdffactory.com
Основы технологии PKI
74


Окончание таблицы 4.1

Описание
Элемент

BasicConstraints Отличает ключ УЦ от ключей конечных
пользователей (используется только для
сертификата УЦ) Для ключа УЦ сА
истинно. Ограничение длины цепочки
сА
pathLenConstraint
Используется только при сертификации
NameConstraints
УЦ
Определяет сертификацию домена по
имени по отношению к подчиненному
УЦ в пределах пути, устанавливаемого
параметром BasicConstraints
Подчиненный УЦ и домен его поддерева
PermittedSubtrees
Имя подчиненного УЦ Верхний предел
Base
домена Нижний предел домена
minimum
Подчиненный УЦ, исключенный из
maximum
домена
excludedSubtree
PolicyConstraints Ограничения политики (используется
PolicySet только для requireExplicitPolicy УЦ)
InhibitPolicyMapping
Пункты распространения САС
cRLDistributionPoints
Имя пункта распространения
distributionPoint
Вид списка, распространяемого данным
reasons
пунктом
keyCompromise 1. Скомпрометированный ключ конечно
го пользователя
2. Скомпрометированный ключ У Ц
cACompromise
3. Измененная информация в сертификате
affiliationChanged
(не повреждение)
4. Приостановленный ключ
superseded
5. Завершение использования
cessationOfOperation
6. Приостановление использования
certificateHold
Имя издателя САС
cRLIssuer




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________________4. Структуры данных PKl ___________________ 75


Необязательные поля Issuer Unique Identifier и Subject Unique
Identifier информируют об идентификаторах субъекта и издателя
сертификата и предназначены для управления многократным ис-
пользованием имен субъектов и издателей. Вследствие неэффектив-
ности подобного механизма управления Интернет-стандарты про-
филей сертификата и списка аннулированных сертификатов не ре-
комендуют использовать в сертификатах эти поля.
4.1.2. Дополнения сертификата
Важная информация находится также в дополнениях сертифи-
ката. Они позволяют включать в сертификат информацию, которая
отсутствует в основном содержании, определять действительность
сертификата и наличие у владельца сертификата прав доступа к той
или иной системе. Кроме того, в дополнениях содержится техноло-
гическая информация, позволяющая легко проверить подлинность
сертификата. Каждая организация может использовать свои частные
дополнения, удовлетворяющие конкретным требованиям ведения
бизнеса. Однако большинство требований охватывают стандартные
дополнения, поддержку которых обеспечивают коммерческие про-
граммные продукты.
Опциональное поле Extensions появляется в сертификатах
третьей версии. Каждое дополнение состоит из идентификатора типа
дополнения Extension identifier, признака критичности Criticality flag
и собственно значения дополнения Extension value. Идентификатор
типа дополнения задает формат и семантику значения дополнения.
Признак критичности сообщает приложению, использующему дан-
ный сертификат, существенна ли информация о назначении серти-
фиката и может ли приложение игнорировать данный тип дополне-
ния. Если дополнение задано как критичное, а приложение не распо-
знает данный тип дополнения, то сертификат не должен использо-
ваться приложением. Нераспознанное некритичное дополнение при-
ложение может игнорировать и использовать сертификат.
Дополнения сертификатов Х.509 определены рекомендациями
Х.509 версии 3 Международного Союза по телекоммуникациям
и документом RFC 3280 [104] группы инженерной поддержки Ин-
тернет IETF. Все дополнения, утвержденные указанными рекомен-
дациями, можно разделить на две категории: ограничивающие и ин-




PDF created with pdfFactory Pro trial version www.pdffactory.com
76____________________Основы технологии РК1 _________________


формационные дополнения [147]. Первые ограничивают область
применения ключа, определенного сертификатом, или самого сер-
тификата. Вторые содержат дополнительную информацию, которая
может быть использована в прикладном программном обеспечении
пользователем сертификата.
К ограничивающим дополнениям относятся:
• основные ограничения (Basic Constraints);
• область применения ключа (Key Usage);
• расширенная область применения ключа (Extended Key
Usage);
• политики применения сертификатов (Certificates Policies,
Policy Mappings, Policy Constraints);
• ограничения на имена (Name Constraints).
К информационным дополнениям относятся:
• идентификаторы ключей (Subject Key Identifier, Authority
Key Identifier);
• альтернативные имена (Subject Alternative Name, Issuer Al
ternative Name);
• пункт распространения списка аннулированных сертифи
катов (CRL Distribution Point, Issuing Distribution Point);
• способ доступа к информации удостоверяющего центра
(Authority Access Info).
Документом RFC 3280 Certificate & CRL Profile пока не реко-
мендуется использовать дополнение Subject Directory Attributes, ко-
торое может применяться для доставки любых значений атрибутов
каталога Х.500 о субъекте данного сертификата. Вместе с этим стан-
дарт Х.509 позволяет вводить любые другие дополнения, необходи-
мость которых определяется их использованием в конкретной сис-
теме (например, в системе SET).
Субъектом сертификата может быть конечный пользователь
или удостоверяющий центр. Основные поля сертификата не диффе-
ренцируются в зависимости от типа пользователя, различать субъек-
ты сертификатов и оценивать возможность построения цепочки сер-
тификатов позволяет дополнение Basic Constraints, используемое
только для удостоверяющих центров.




PDF created with pdfFactory Pro trial version www.pdffactory.com
__________________4. Структуры данных PKI ___________________ 77


Дополнение Key Usage отражает области применения секрет-
ного ключа, соответствующего указанному в сертификате открыто-
му ключу. В одноименной графе таблицы 4.1 перечислены возмож-
ные области применения ключа.
Дополнение Subject Alternative Name позволяет расширить
границы идентификации владельца сертификата путем использова-
ния альтернативных имен, таких, как DNS-имена, IP-адреса, URI-
адреса или адреса электронной почты Интернет. Для указания до-
полнительной справочной информации о владельце применяется
множественное применение имен и представление имени в различ-
ных видах. Альтернативное имя должно проверяться в соответствии
с регламентом удостоверяющего центра. Помимо зарегистрирован-
ных типов имен удостоверяющий центр может использовать свои
собственные имена, задавая их в поле Other Name. Аналогичная ин-
формация содержится и в дополнении Issuer Alternative Name, харак-
теризующем издателя сертификата.
Удостоверяющие центры могут иметь много пар ключей, до-
полнение Authority Key Identifier помогает пользователям выбрать
правильный ключ для верификации подписи на сертификате. Поль-
зователи также могут владеть многими парами ключей или несколь-
кими сертификатами для одного и того же ключа. Дополнение
Subject Key Identifier используется для того, чтобы различать много-
численные ключи подписи сертификатов одного и того же вла-
дельца.
Дополнение CRL Distribution Point задает унифицированный
идентификатор ресурса (Uniform Resource Identifier - URI) для ука-
зания местоположения списка аннулированных сертификатов, то
есть определяет пункт распространения С АС.
Организации могут поддерживать широкий круг приложений,
использующих PKI. Некоторые сертификаты бывают надежнее дру-
гих в зависимости от процедур их выпуска или типов криптографи-
ческих модулей пользователей. Различные организации (компании
или правительственные агентства) используют разные политики
применения сертификатов, пользователи при этом не всегда способ-
ны их различить, но при принятии решения могут ориентироваться
на дополнение Certificate Policies. Это дополнение содержит абсо-




PDF created with pdfFactory Pro trial version www.pdffactory.com
78 ___________________ Основы технологии PKI_________________


лютно уникальный идентификатор, характеризующий политику
применения сертификатов, в соответствии с которой был выпущен
данный сертификат, и назначение сертификата. Признак критично-
сти в поле Certificate Policies ограничивает использование сертифи-
ката одной из идентифицируемых политик, тем самым удостове-
ряющий центр декларирует, что выпущенный им сертификат дол-
жен применяться в соответствии с положениями одной из указанных
в списке политик. Это может защитить удостоверяющий центр от
претензий по возмещению ущерба доверяющей стороны, которая
использовала сертификат не по тому назначению или не тем спосо-
бом, которые соответствуют политикой применения сертификатов,
указанной в сертификате.
Пусть, например, служба департамента налогов и сборов
должна выпустить сертификаты для налогоплательщиков с целью
защиты информации о налоговых отчислениях. Очевидно, что эта
служба осознает и стремится минимизировать риск случайного вы-
пуска сертификата для плохо аутентифицированного лица, так как в
случае ошибки при выпуске сертификата и использования его зло-
умышленником может быть причинен значительный материальный
ущерб. Считается, что дополнение Certificate Policies с признаком
критичности позволяет издателю сертификата уменьшить риск при
таких обстоятельствах и защитить себя от претензий по возмещению
ущерба. Кроме того, в поле дополнения Certificate Policies можно
указывать значения уточнителя для каждой идентифицируемой по-
литики применения сертификатов.
Дополнение Policy Mappings используется, если субъектом
сертификата является удостоверяющий центр. С его помощью удо-
стоверяющий центр может фиксировать соответствие некоторых
своих политик применения сертификатов политикам применения
сертификатов другого удостоверяющего центра. Пусть, например,
корпорация АСЕ заключает соглашение с корпорацией ABC о вза-
имной сертификации PKI друг друга с целью взаимной защиты
электронного обмена данными [104]. Каждая компания имеет свою
политику защиты финансовых транзакций. Очевидно, что просто
генерация взаимных сертификатов не обеспечит необходимой функ-
циональной совместимости, так как в каждой компании конфигури-




PDF created with pdfFactory Pro trial version www.pdffactory.com
_________________ 4. Структуры данных PKI ___________________ 79


рование финансовых приложений и выпуск сертификатов для слу-
жащих осуществляются согласно собственной политике. Одно из
возможных решений - переконфигурирование всех финансовых
приложений и повторный выпуск всех сертификатов в соответствии
с требованиями обеих политик. Другим более простым решением
может быть использование дополнения Policy Mappings. Если поле
этого дополнения включает взаимный сертификат, выпущенный УЦ
компании АСЕ для УЦ компании ABC, то политика защиты финан-
совых транзакций компании ABC считается эквивалентной одно-
именной политике компании АСЕ.
Выпуск сертификата одним удостоверяющим центром для
другого является подтверждением надежности сертификатов по-
следнего. Существует три основных способа подтвердить надеж-
ность некоторого множества сертификатов. Во-первых, это можно
сделать при помощи дополнения Basic Constraints (описанного вы-
ше). Второй способ состоит в описании множества сертификатов на
основании имен в поле имени субъекта или альтернативного имени
субъекта в дополнении Name Constraints. Это дополнение может ис-
пользоваться для задания множества допустимых имен или множе-
ства недопустимых имен.
В-третьих, для описания множества сертификатов на основа-
нии ограничения политик можно использовать дополнение Policy
Constraints. Это дополнение используется только в сертификатах
удостоверяющих центров и задает проверку пути к политике, за-
прашивая идентификаторы политик и (или) запрещая задание соот-
ветствий политик [2]. Если удостоверяющий центр выдает универ-
сально надежные сертификаты, то нет необходимости явно указы-
вать в них политики применения сертификатов. Если же сертифика-
ты удостоверяющего центра, признанного надежным в определен-
ном домене, используются вне этого домена, то требуется явное ука-
зание политики применения во всех сертификатах цепочки сертифи-
катов. При помощи дополнения Policy Constraints можно объявить
неправомерным дополнение Policy Mappings в том случае, когда сер-
тификация выходит за пределы определенного домена. Это актуаль-
но для контроля рисков, возникающих из-за «транзитивного» дове-
рия, когда домен А доверяет домену В, домен В доверяет домену С,




PDF created with pdfFactory Pro trial version www.pdffactory.com
80 ___________________ Основы технологии PKI _________________


но домен А не желает доверять домену С. Если ограничения на по-
литику применения сертификатов установлены, то пользователи не

<< Пред. стр.

страница 9
(всего 28)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign