Национальный исследовательский ядерный университет «МИФИ»
Опубликован: 15.11.2006 | Доступ: свободный | Студентов: 2230 / 430 | Оценка: 4.33 / 3.99 | Длительность: 29:21:00
ISBN: 978-5-9556-0081-9
Лекция 15:

Стандарты и спецификации PKI

Аннотация: Приводится классификация стандартов в области PKI, дается краткая характеристика каждой группы стандартов, подробно рассматриваются стандарты Internet X.509 PKI (PKIX), обсуждается терминология и концепции PKIX, дается представление о направлениях стандартизации в области PKI, приводятся примеры национальных и международных инициатив по обеспечению функциональной совместимости PKI-продуктов.
Ключевые слова: PKI, ITU, international, telecommunications, UNION, ISO, standardization, группа инженерной поддержки Интернета, сильная аутентификация, синтаксис, abstract, syntax notation, ONE, ASN.1, OSI, OPEN, system, interconnection, имя пользователя, криптографический ключ, OID, группа, политика применения сертификатов, LDAP, атрибутный сертификат, статус сертификата, метки времени, PKCS, public, cryptography, RSA, security, DEC, SUN, MIT, эллиптические кривые, инфраструктура открытых ключей, протоколы управления, онлайновый протокол статуса сертификата, управление сертификатами, профиль сертификата, аннулирование сертификатов, прикладной программный интерфейс, PCMCIA, алгоритм, S/MIME, HTTP, TLS, DNS, set, системы аутентификации, secure, multipurpose, Internet, mail, метки безопасности, протокол передачи гипертекста, протокол безопасности транспортного уровня, открытый стандарт, SSL, layer, защита коммуникаций, конфиденциальность, целостность, сервер, подделка сообщений, взаимная аутентификация, архитектура безопасности, протокол аутентифицирующего заголовка, протокол инкапсулирующей защиты содержимого, контекст безопасности, DSA, операционные требования, Интернет, IP, контроль, анализ трафика, RFC, достоверность, механизмы, безопасность данных, MD5, DNSSEC, протокол SET, инфраструктура управления привилегиями, сертификат открытого ключа, аутентификация источника данных, идентичность субъекта, Certification Authority, CPS, RA, регистрационный центр, party, subordinate, период действия, удостоверяющий центр, выпуск сертификатов, список аннулированных сертификатов, операционные протоколы, кросс-сертификация, кросс-сертификат, CRL, основной синтаксис, шифрование открытым ключом, алгоритм RSA, OCSP, data validation, proof, TSP, функциональная совместимость, качество стандартов, профиль стандарта, тестирование функциональной совместимости, demonstration, спецификация минимальной функциональной совместимости, модель доверия, путь сертификации, federation, interoperability, in-house, pilot, digital signature, DST, пилотный проект, OCSP-респондер, CMC

Стандарты в области PKI

Стандарты играют существенную роль в развертывании и использовании PKI. Стандартизация в этой сфере позволяет разным приложениям взаимодействовать между собой с использованием единой PKI [219]. Стандарты в области PKI можно разбить на четыре группы, каждая из которых относится к определенному технологическому сегменту, необходимому для создания PKI.

К первой группе (см. табл. 15.1) можно отнести стандарты серии X, подготовленные Международным Союзом по телекоммуникациям - ITU (International Telecommunications Union), и стандарты Международной организации стандартизации - ISO (International Organization for Standardization), относящиеся к PKI [10]. Они признаны в международном масштабе, содержат описания концепций, моделей и сервиса каталога (X.500) и формализуют процедуру аутентификации (X.509). Стандарт X.509 первоначально предназначался для спецификации аутентификации при использовании в составе сервисов каталога X.500. С течением времени X.509 претерпел ряд изменений, и его последняя (третья) версия была стандартизована группой инженерной поддержки Интернета - Internet Engineering Task Force (IETF). Документ X.509 регулирует хранение информации в каталоге и получение данных аутентификации. Он характеризует криптосистему с открытым ключом как метод сильной аутентификации, который базируется на создании, управлении и свободном доступе к сертификату, связывающему субъекта (пользователя) с его открытым ключом. Синтаксис сертификатов формата Х.509 выражается с помощью особой нотации, так называемой абстрактной синтаксической нотации версии 1 (Abstract Syntax Notation One - ASN.1), которая была предложена комитетом разработчиков стандартов взаимодействия открытых систем OSI (Open System Interconnection) для использования с протоколами X.500. ASN.1 описывает синтаксис различных структур данных, вводя примитивные объекты и средства описания их комбинаций [2]. Форматы электронного сертификата и САС, предложенные X.509, фактически признаны стандартом и получили всеобщее распространение независимо от X.500. Как показало время, наиболее ценной в стандарте X.509 оказалась не сама процедура, а ее служебный элемент - структура сертификата, содержащая имя пользователя, криптографические ключи и сопутствующую информацию [6].

Таблица 15.1. I группа стандартов
Номер и название стандарта Содержание стандарта
X.500 Каталог: обзор концепций, моделей и услуг
X.509 Каталог: структура аутентификации
X.509a Проект изменений и дополнений для продления срока действия сертификатов (расширение версии 3)
X.208 (ISO/IEC 8825)

Abstract Syntax Notation (ASN.1)

Абстрактная синтаксическая нотация
X.209 Основные правила кодирования для ASN.1
ISO/IEC 8824

Object Identifiers (OIDs)

Идентификаторы объектов
ISO/IEC 9594/8

Directory Services (X.509)

Сервисы каталога (X.509)

Стандарты второй группы (см. табл. 15.2) разработаны основным центром по выпуску согласованных стандартов в области PKI - рабочей группой организации IETF, известной как группа PKIX (от сокращения PKI for X.509 certificates) [10]. Документы PKIX определяют политику применения сертификатов и структуру регламента УЦ, форматы, алгоритмы и идентификаторы сертификата и САС X.509, схему поддержки PKIX в среде LDAP v2, форматы атрибутных сертификатов и сертификатов ограниченного пользования, описывают протоколы статуса сертификатов, запроса на сертификацию, проставления метки времени, эксплуатационные протоколы PKI.

Третью группу образуют стандарты криптографии с открытыми ключами PKCS (Public Key Cryptography Standards), разработанные компанией RSA Security Inc. [102] совместно с неофициальным консорциумом, в состав которого входили компании Apple, Microsoft, DEC, Lotus, Sun и MIT. Документы PKCS признаны симпозиумом разработчиков стандартов взаимодействия открытых систем методом реализации стандартов OSI (Open System Interconnection). Стандарты PKCS (см. табл. 15.3) обеспечивают поддержку криптографических процессов при выполнении защищенного шифрованием информационного обмена между субъектами. Стандарты PKCS ориентированы на двоичные и ASCII-данные и совместимы со стандартом ITU-T X.509. В PKCS входят алгоритмически зависимые и независимые реализации стандартов [217]. Многие из них опираются на систему шифрования с открытыми ключами RSA, названную по инициалам авторов Ривеста, Шамира и Адльмана, метод эллиптических кривых и метод согласования ключей Диффи-Хэллмана, подробно описанные в трех соответствующих криптографических стандартах.

Таблица 15.2. II группа стандартов
Номер и название стандарта Содержание стандарта
RFC 2510 
Certificate Management Protocols (CMP)
Инфраструктура открытых ключей Интернет X.509: протоколы управления сертификатами
RFC 2511 
Certificate Request Protocol
Протокол запроса на сертификат
RFC 2527 
Certificate Policy and Certification
Practices Framework
Политика применения сертификатов и структура регламента
RFC 2559 
LDAP V2 Operational Protocols
Эксплуатационные протоколы инфраструктуры открытых ключей
RFC 2560 
Online Certificate Status Protocol (OCSP)
Онлайновый протокол статуса сертификата
RFC 2585 
HTTP/FTP Operations
Применение протоколов HTTP/FTP для получения сертификатов и САС и репозитория PKI
RFC 2587 
LDAP V2 Schema
Схема поддержки PKIX в среде LDAP v2
RFC 2797 
Certificate Management Messages over
CMS (CMC)
Протокол управления сертификатами на базе сообщений управления сертификатами
RFC 2875 
Diffie-Hellman Proof-of-Possession
(POP) Algorithms
Алгоритмы Диффи-Хэлмана доказывания владения
RFC 3029 
Data Validation and Certification
Server Protocols
Протоколы сервера сертификации и проверки достоверности данных
RFC 3039
Qualified Certificates Profile
Формат сертификата ограниченного пользования
RFC 3161
Time-Stamp Protocol (TSP)
Протокол меток времени
RFC 3279 (бывший RFC 2528) 
Algorithms and Identifiers for the
Internet X.509 Public Key
Infrastructure Certificate and
Certificate Revocation List (CRL) Profile
Алгоритмы и идентификаторы для профилей сертификатов и САС PKIX
RFC 3280 (бывший RFC 2459) 
Certificate & CRL Profile
Форматы сертификата и списка аннулированных сертификатов X.509
RFC 3281
An Internet Attribute Certificate
Profile for Authorization
Формат атрибутного сертификата для авторизации
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

Сергей Халяпин
Сергей Халяпин
Россия, Москва
Алексей Фоминых
Алексей Фоминых
Россия