Читаем Инфраструктуры открытых ключей полностью

Инфраструктуры открытых ключей

* переадресующие списки САС ;

* деревья аннулирования сертификатов.

В полной системе аннулирования сочетаются публикация и последующее использование информации об аннулировании сертификатов. УЦ аннулирует сертификат, включая его серийный номер в САС. Синтаксис САС также разрешает УЦ приостанавливать действие сертификатов. Сертификат, действие которого приостановлено, передается на хранение. УЦ может затем аннулировать сертификат или возобновить его действие.

<p>Формат списка аннулированных сертификатов</p>

Формат списка аннулированных сертификатов определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документах PKIX [167]. Существуют две различные версии САС, первая версия описывалась в первых спецификациях X.509. Сейчас списки САС первой версии не используются, поскольку они не позволяют решать проблемы масштабируемости и добавлять необходимые функции, а также не способны противостоять атакам подмены. В настоящее время общепринята вторая версия списков САС (см. табл. 8.1), в которой перечисленные проблемы решены при помощи дополнений.

Дополнения могут быть помечены как критичные и некритичные. Некритичные дополнения могут быть проигнорированы, если доверяющая сторона их не понимает (без каких-либо действий с ее стороны). Критичные дополнения должны обрабатываться доверяющей стороной и быть понятны ей. Даже если некоторые дополнения не распознаются, доверяющая сторона должна, по крайней мере, понимать, что сертификаты, перечисленные в списке, аннулированы. Однако без распознавания определенных дополнений невозможно оценить, является ли САС полным.

Список аннулированных сертификатов (Certificate Revocation List - CRL) представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Структура, располагающаяся в верхней части САС, подобна конверту для содержания списка и состоит из трех полей:

1 первое поле tbs Cert List - это заверенное цифровой подписью содержание списка аннулированных сертификатов, который должен быть подписан (tbs - сокращение от английского выражения "to-be-signed", означающего "быть подписанным");

2 второе поле Signature Algorithm содержит идентификатор алгоритма цифровой подписи, который применил издатель САС для подписания этого списка. Идентификатор алгоритма задается при помощи соответствующего идентификатора объекта (OID). Значение поля должно совпадать со значением идентификатора алгоритма, указываемого в соответствующем поле САС ;

3 третье поле Signature Value содержит значение цифровой подписи, вычисленной на основе содержания САС ; значение подписи - это строка битов в формате ASN.1.

После этой структуры следует непосредственно содержание списка, который подписывается. САС состоит из набора обязательных полей и нескольких опциональных дополнений. В содержании всегда указывается идентификатор алгоритма цифровой подписи, имя издателя и дата выпуска САС. В соответствии со стандартом RFC 3280 [167] рекомендуется включать дату выпуска нового САС, несмотря на то, что поле Next Update (следующее обновление) считается необязательным, а использование этого поля значительно усложняет валидацию сертификата.

Если аннулированных сертификатов нет, часть структуры списка, описывающая аннулированные сертификаты, отсутствует. Если аннулированные сертификаты имеются, то каждый из них, представляющий собой вход в САС, задается структурой, которая состоит из серийного номера сертификата, даты аннулирования и необязательных дополнений точек входа в САС. Дополнения точек входа в САС ( CRL Entry Extensions ) описывают данные одного аннулированного сертификата, помимо которых в состав содержания САС входят дополнения САС ( CRL Extensions ), характеризующие весь список аннулированных сертификатов в целом. Структура САС X.509 v2 приведена в табл. 8.1.

Читаем Инфраструктуры открытых ключей полностью

Инфраструктуры открытых ключей

Похожие книги

Все жанры