Инфраструктура Открытого Ключа (часть 7)

Содержание множества постановлений

Сначала опишем содержание множества постановлений. Соответственно, темы, рассматриваемые здесь, являются кандидатами на включение в определение политики сертификата или CPS.

Тем не менее, нет необходимости включать каждый раздел в конкретную политику сертификата или CPS. Скорее конкретная политика сертификата или CPS может указать "нет условий" для компонента, подкомпонента или элемента, для которых она не выдвигает требований. В этом случае список тем может рассматриваться как контрольный список при создании политики сертификата или CPS. Рекомендуется, чтобы все компоненты и подкомпоненты были включены в политику сертификата или CPS, даже если там определено "нет условий". Это защищает от случайного пропуска темы и обеспечивает возможность сравнения различных политик или CPSs.

В определении политики сертификата возможен пропуск нескольких компонентов, подкомпонентов и/или элементов, и указание, что необходимая информация будет определена в квалификаторе политики. Такие определения политики сертификата можно рассматривать как параметризованные определения. Множество постановлений должно определять требуемые типы квалификаторов политики и специфицировать все используемые значения по умолчанию.

Введение

Данный компонент определяет множество постановлений и указывает типы участников и приложений, для которых предназначена спецификация.

Данный компонент имеет следующие подкомпоненты:

• обзор - описывает все используемые имена или другие идентификаторы, включая ASN.1 идентификаторы объектов, для множества постановлений;
• идентификация;
• сообщество и применимость - описывает типы участников, для которых выпускаются сертификаты или которые определены как субъекты САs, типы участников, выполняющие функции RA, и типы участников, специфицированные как конечные участники или подписчики;
• детали контактов.

Общие постановления

Данный компонент описывает все используемые предположения и состоит из следующих подкомпонентов:

1. Обязательства - содержит для каждого типа участника все используемые постановления, относящиеся к обязательствам участника по отношению к другим участникам.
   • Обязательства СА и/или RA:
     • уведомление подписчика, который является субъектом выпущенного сертификата, о выпуске сертификата;
     • уведомление о выпуске сертификата других участников, которые не являются субъектами сертификата;
     • уведомление об отмене или приостановке сертификата подписчика, чей сертификат отменен или приостановлен;
     • уведомление об отмене или приостановке сертификата других участников, которые не являются субъектами отмененного или приостановленного сертификата.
   • Обязательства подписчика:
     • точность представлений в приложении сертификата;
     • защита закрытого ключа участника;
     • ограничения использования закрытого ключа и сертификата;
     • уведомление о компрометации закрытого ключа.
   • Обязательства доверяющей группы:
     • цели, для которых используется сертификат;
     • ответственность при проверке цифровой подписи;
     • ответственность при проверке отмены и приостановки;
     • признание применяемых законов и полномочий.
   • Обязательства репозитория:
     • своевременное опубликование сертификатов и информации об отмене.
2. Ответственность.
3. Финансовая отчетность.
4. Интерпретация и претворение в жизнь.
5. Оплата.
6. Опубликование и хранение:
   • обязательства СА, касающиеся опубликования информации, относящейся к его практикам, сертификатам и текущему статусу сертификатов;
   • частота опубликования;
   • управление доступом к опубликованным информационным объектам, включая определения политики сертификата, CPS, сертификаты, статус сертификата и CRLs;
   • требования, относящиеся к использованию репозиториев.
7. Согласованный аудит.
8. Политика конфиденциальности:
   • типы информации, конфиденциальность которых должна обеспечиваться СА или RA;
   • типы информации, которые не считаются конфиденциальными;
   • кто имеет право сообщать о причинах отмены и приостановки сертификатов;
   • политика по сообщению информации об официальном вводе в действие законов;
   • условия, при которых СА или RA могут раскрыть информацию;
   • любые другие условия, при которых конфиденциальная информация может быть раскрыта.
9. Права интеллектуальной собственности.

Идентификация и аутентификация

Данный компонент описывает процедуры, используемые для аутентификации претендента на сертификат перед тем как СА или RA выпустит его. Также описывается аутентификация участников, которые запрашивают новые ключи или отмену. Данный компонент адресован и практикам именования, включая распознавание собственных имен и разрешение конфликтов имен.

Данный компонент имеет следующие подкомпоненты:

1. Начальная регистрация.
   • Типы имен, связанные с субъектом.
   • Являются имена значимыми или нет.
   • Правила интерпретации различных форм имени.
   • Должны ли имена быть уникальными.
   • Как разрешается конфликт имен.
   • Признание, аутентификация и роль торговых марок.
   • Как субъект должен доказывать обладание соответствующим закрытым ключом для зарегистрированного открытого ключа.
   • Требования аутентификации для идентификации организации субъекта (СА, RA или конечного участника).
   • Требования аутентификации для персональных действий от имени субъекта (СА, RA или конечного участника), включая:
   • Число требуемых элементов идентификации.
   • Как СА или RA проверяют действительность предоставленных элементов идентификации.
   • Должен ли конкретный человек персонально присутствовать для аутентификации СА или RA.
   • Как аутентифицируется конкретный человек в качестве представителя организации.
2. Процедура создания нового ключа - описывает процедуры идентификации и аутентификации для процедуры создания нового ключа для каждого типа субъекта (СА, RA и конечного участника).
3. Создание нового ключа после отмены - описывает процедуры идентификации и аутентификации при создании нового ключа для каждого типа субъекта (СА, RA и конечного участника) после того, как сертификат субъекта был отменен.
4. Запрос отмены - описывает процедуры идентификации и аутентификации для запроса отмены для каждого типа субъекта (СА, RA и конечного пользователя).