Ольга Полянская - Инфраструктуры открытых ключей
- Название:Инфраструктуры открытых ключей
- Автор:
- Жанр:
- Издательство:Интернет-университет информационных технологий - ИНТУИТ.ру
- Год:2007
- Город:M.
- ISBN:978-5-9556-0081-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Ольга Полянская - Инфраструктуры открытых ключей краткое содержание
В курс включены сведения, необходимые специалистам в области информационной безопасности.
Рассматривается технология инфраструктур открытых ключей (Public Key Infrastructure – PKI), которая позволяет использовать сервисы шифрования и цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей. Технология PKI считается единственной, позволяющей применять методы подтверждения цифровой идентичности при работе в открытых сетях.
Курс дает представление об основных концепциях и подходах к реализации инфраструктур открытых ключей, в нем описываются политика безопасности, архитектура, структуры данных, компоненты и сервисы PKI. Предлагается классификация стандартов и спецификаций в области инфраструктур открытых ключей. Подробно рассматриваются процессы проектирования инфраструктуры и подготовки ее к работе, обсуждаются типовые сценарии использования и способы реагирования на инциденты во время функционирования PKI.
Инфраструктуры открытых ключей - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
| Поле| Содержание|
| Version| Версия (1 означает v2)|
| signature| Идентификатор алгоритма цифровой подписи|
| issuer| Уникальное имя издателя САС (УЦ)|
| thisUpdate| Дата выпуска текущего САС |
| nextUpdate| Планируемая дата выпуска следующего САС |
| revokedCertificates
.
user Certificate
revocation Date
cRLEntryExtensions
| Перечень аннулированных сертификатов.
Для каждого сертификата указываются:
1) серийный номер;
2) дата аннулирования;
3) дополнения точки входа в САС
|
| cRLExtensions| Дополнительная информация, характеризующая САС в целом|
| signatureAlgorithm| Идентификатор алгоритма цифровой подписи|
| signatureValue| Значение цифровой подписи (строка битов)|
Таблица 8.1.Структура списка аннулированных сертификатов X.509 v2
Необязательное поле Version при помощи номера версии задает синтаксис САС , это поле заполняется только в списке второй версии, поскольку в формате САС первой версии оно не представлено.
Поле Signature идентифицирует алгоритм цифровой подписи, который используется издателем САС при подписании списка. Это поле должно содержать тот же самый идентификатор алгоритма, задаваемый идентификатором объекта (OID), что и соответствующее поле Signature Algorithm в структуре, располагающейся в верхней части списка (см. выше).
Обязательное поле Issuer содержит отличительное имя издателя САС (в соответствии со стандартом X.500). Документ RFC 3280 [167]требует, чтобы это поле не было пустым, в нем указываются идентификационные признаки УЦ. Если УЦ делегирует некоторые или все функции по поддержке САС другому центру, то включает в выпускаемые сертификаты дополнение CRL Distribution Point. Issuer .
Поле This Update указывает дату выпуска текущего САС . Дата может быть представлена в одном из двух возможных форматов: в обобщенном формате времени или в формате скоординированного универсального времени UTC (Universal Coordinated Time). Издатель САС должен использовать формат UTC для дат до 2049 года включительно и обобщенный формат времени для дат после 2050 года.
Поле Next Update отображает дату выпуска следующего САС . Здесь также поддерживаются два формата времени. Следующий САС необходимо выпустить не позднее указанной даты. Издатель САС должен включать это поле в состав содержания САС , хотя формально оно не является обязательным.
Поле Revoked Certificates содержит перечень аннулированных сертификатов. Эта структура необязательна, но может отсутствовать только тогда, когда отсутствуют аннулированные сертификаты, срок действия которых не истек. В поле указываются:
*серийные номера аннулированных сертификатов user Certificate ;
*их даты аннулирования Revocation Date (в одном из двух форматов времени);
*необязательные дополнения точек входа в САС CRL Entry Extensions .
Каждый аннулированный сертификат является отдельным входом в САС . Сертификаты уникально идентифицируются комбинацией имени и серийного номера. Чаще всего издатель сертификата и издатель САС - это один и тот же УЦ, поэтому имя издателя указывается один раз и применяется ко всему списку серийных номеров. Если издатель САС и издатель сертификата - разные лица, то имя издателя указывается в паре с серийным номером каждого сертификата.
Поле CRL Extensions используется для включения дополнительной информации, характеризующей САС в целом.
Дополнения САС
Стандарт X.509 версии 1997 года [77]ввел в САС несколько дополнений - CRL Extensions . Каждое дополнение САС может быть помечено как критичное или некритичное. Валидация САС становится невозможной, если обнаруживается нераспознанное критичное дополнение . Однако такое дополнение может быть проигнорировано. Формат САС X.509 v2 допускает задание частных дополнений , позволяющих указывать специфическую для данного PKI-сообщества информацию. Версия 2000 года стандарта X.509 ввела важные изменения в формат САС по сравнению с версией 1997 года [78]. Стандартные дополнения САС приведены в табл. 8.2.
| Поле| Содержание|
|
authorityKeyIdentifier
.
keyIdentifier
.
authorityCertIssuer
.
authorityCertSerialNumber
|
Идентификатор открытого ключа
издателя САС
значение дополнения Subject Key Identifier
из сертификата издателя САС
основное или альтернативное имя
издателя САС
серийный номер сертификата издателя САС
|
| issuerAlternativeName| Альтернативные имена издателя САС |
| cRLNumber| Последовательность номеров всех списков САС , выпущенных данным издателем|
| cRLScope| Тип САС по признаку разбиения или области охвата|
| statusReferrals| Используется для динамического разбиения списков САС |
| cRLStreamIdentifier| Используется для идентификации контекста, внутри которого номер САС является уникальным|
| orderedList| Характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования|
| deltaInformation| Информация о местонахождении дельта-списка САС и времени выпуска следующего дельта-списка |
|
issuingDistributionPoi
.
distributionPoint
onlyContainsUserCerts
.
onlyContainsCACerts
onlySomeResons
.
indirectCRL
|
Атрибуты выпускающего пункта
распространения САС
названия пунктов распространения САС
тип сертификатов (только сертификаты
конечных пользователей)
тип сертификатов (только сертификаты УЦ)
информация об аннулировании
сертификатов по заданным причинам
информация о косвенном САС
|
| deltaCRLIndicator| Индикатор САС как дельта-списка |
| baseUpdate| Дата/время обновления информации об аннулировании при помощи дельта-списка САС |
| freshest CRL| Указатель на самый последний, "свежий" дельта-список САС |
Таблица 8.2.Дополнения списка аннулированных сертификатов X.509 v2
Дополнение Authority Key Identifier (идентификатор ключа издателя САС ) идентифицирует открытый ключ, необходимый для валидации цифровой подписи, которой заверен САС . Идентификация может базироваться либо на идентификаторе ключа (из дополнения Subject Key Identifier сертификата издателя САС ), либо на имени издателя САС и серийном номере его сертификата. В этом дополнении используются следующие поля:
Читать дальшеИнтервал:
Закладка:
![Ольга Куно - Семь ключей от зазеркалья [litres]](/books/1055864/olga-kuno-sem-klyuchej-ot-zazerkalya-litres.webp)
![Ольга Куно - Семь ключей от зазеркалья [СИ]](/books/1061481/olga-kuno-sem-klyuchej-ot-zazerkalya-si.webp)
