1. Главная
  2. Книги
  3. Полянская Ольга Юрьевна
  4. Инфраструктуры открытых ключей
  5. Страница 31
Выбрать главу

Информация для авторизации часто имеет меньший срок действия, чем сертификат открытого ключа. Она могла бы указываться в дополнениях сертификата открытого ключа, но это не является выходом по двум причинам. Во-первых, подобный сертификат должен аннулироваться при любых изменениях информации для авторизации. Во-вторых, УЦ, выпускающий данный сертификат, не имеет полномочия подписывать эту информацию, а должен связываться с источником информации о правах доступа конкретного пользователя.

Атрибутный сертификат X.509 связывает атрибуты прав доступа с владельцем сертификата и предназначен для использования в Интернет приложениях [84]. Поскольку атрибутный сертификат не содержит открытого ключа, то его используют вместе с сертификатом открытого ключа. Аутентификация субъекта осуществляется при помощи сертификата открытого ключа, а связывание атрибутов с данным субъектом - посредством атрибутного сертификата.

Атрибутные сертификаты могут применяться в сервисах аутентификации источника данных и неотказуемости. В этом случае в сертификаты включают дополнительную информацию о субъекте, который ставит цифровую подпись. Эта информация позволяет удостовериться, что субъект имеет право подписывать данные. Род проверки зависит от содержания данных, которыми обмениваются стороны или которые должны быть заверены цифровой подписью.

Атрибутный сертификат X.509 напоминает сертификат открытого ключа этого же формата, но имеет другие функциональные возможности. Он представляет собой структурированную двоичную запись формата ASN.1 и подписывается издателем сертификата. Атрибутный сертификат содержит девять полей: версия, владелец, издатель, идентификатор алгоритма подписи, серийный номер, период действия, атрибуты, уникальный идентификатор издателя и дополнения (см. ниже). Владелец атрибутного сертификата характеризуется подобно субъекту сертификата открытого ключа подписи, но может быть задан по имени, издателю и серийному номеру сертификата открытого ключа, либо при помощи хэш-кода сертификата или открытого ключа.

|Версия (v.1 или v.2) |

|Владелец сертификата |

|Имя издателя |

|Идентификатор алгоритма подписи |

|Серийный номер |

|Период действия (не ранее/не позднее) |

|Атрибуты |

|Уникальный идентификатор издателя |

|Дополнения |

Структура атрибутного сертификата

Атрибуты описывают информацию о полномочиях владельца атрибутного сертификата. Как и сертификат открытого ключа подписи, атрибутный сертификат может содержать дополнения. Наряду с имеющимися в системе сервисами аутентификации, атрибутные сертификаты обеспечивают защищенную передачу информации о полномочиях их владельцев [2]. Эту технологию могут применять, например, приложения удаленного доступа к сетевым ресурсам (таким, как web-серверы и базы данных), а также приложения, которые управляют физическим доступом в помещения и к аппаратному обеспечению.

Лекция 7. Классификация сертификатов и управление ими

Приводится классификация сертификатов открытых ключей, дается краткая характеристика классов и видов сертификатов, подробно рассматривается содержание полей сертификата каждого вида, обсуждается использование субъектом нескольких сертификатов, дается представление о жизненном цикле сертификатов и ключей, приводятся примерные сценарии управления жизненным циклом сертификатов и ключей.

Классы сертификатов

В лекции предлагаются некоторые рекомендации по содержательному наполнению сертификатов с учетом необходимости поддерживать функциональную совместимость и предоставлять достаточно полную информацию о назначении сертификатов широкому кругу приложений.

Можно выделить три класса сертификатов открытых ключей:

* сертификаты конечных субъектов;

* сертификаты удостоверяющих центров;

* самоподписанные сертификаты.

Внутри каждого класса существует несколько типов сертификатов, все они представлены на рис. 7.1. Рассмотрим их последовательно.

Классификация сертификатов открытых ключей

Рис. 7.1.  Классификация сертификатов открытых ключей

Сертификаты конечных субъектов

Эти сертификаты выпускаются для субъектов, не являющихся удостоверяющими центрами, и содержат открытые ключи, при помощи которых пользователи сертификатов могут верифицировать цифровые подписи и управлять ключами. Сертификаты должны предоставлять пользователям информацию о назначении открытых ключей, достаточную для принятия решения о пригодности данного ключа для конкретного приложения. Субъектом сертификатов этого класса может быть человек или система (например, web-сервер или маршрутизатор). Рекомендуемые профили сертификатов варьируются в зависимости от типа субъекта [70].

Сертификаты пользователей

Для поддержки онлайновых приложений и защищенной электронной почты в профиль сертификата пользователя включается информация об именах. В содержании сертификата пользователя рекомендуется:

1 использовать в качестве имени субъекта отличительное имя (отличительное имя стандарта X.500 или DNS-имя);

2 устанавливать срок действия сертификата не более 3 лет, начиная с момента его выпуска (в противном случае чрезмерно разрастаются списки САС);

3 задавать дополнение Key Usage (назначение ключа) как критичное. В нем должно указываться: для открытых ключей подписи - их назначение: цифровая подпись или поддержка неотказуемости; для открытых ключей, связанных с алгоритмами Диффи-Хэллмана, эллиптических кривых Диффи-Хэллмана и обмена ключами, - согласование ключей; для RSA-ключей транспортировки ключей - шифрование ключей;

4 задавать дополнение Certificate Policies (политики применения сертификатов) как некритичное; дополнение должно определять одну политику и не содержать никаких спецификаторов политики;

5 задавать дополнение Subject Alternative Name (альтернативное имя субъекта) как некритичное; для приложений защищенной электронной почты S/MIME v3 в качестве альтернативного имени в дополнении должен указываться адрес электронной почты.

В соответствии с требованиями конкретной локальной среды в сертификате могут содержаться и другие дополнения, которые должны быть помечены как некритичные.

Сертификаты систем

К сертификатам систем можно отнести, например, VPN-сертификаты, сертификаты устройств (в том числе и беспроводной связи) и SSL-сертификаты [105].

VPN-сертификаты (IPsec). Эти сертификаты генерируются на основе информации об устройстве (например, IP-адреса) и подписываются человеком от имени устройства (путем ручной или автоматизированной процедуры).

Сертификаты устройств. Эти сертификаты связаны с определенным устройством (например, кабельным модемом), генерируются и физически размещаются в некоторой постоянной памяти устройства. Как правило, имеют длительный срок действия, сопоставимый со сроком жизни устройства. Такие сертификаты обычно не обновляются, потому что их физически трудно заменить.

~ 31 ~