сієї Інфраструктури Відкритих Ключів. Використовуючи відкритий ключ ЦС, кожен користувач може перевірити достовірність електронного сертифікату, випущеного ЦС, і скористатися його вмістом.
Довіра будь сертифікату користувача визначається на основі ланцюжка сертифікатів. Причому початковим елементом ланцюжка є сертифікат центру сертифікації, що зберігається в захищеному персональному довіднику користувача.
Процедура верифікації ланцюжка сертифікатів описана в рекомендаціях X.509 і RFC +2459 і перевіряє зв'язаність між ім'ям Власника сертифіката та його відкритим ключем. Процедура верифікації ланцюжка увазі, що всі правильні ланцюжка починаються з сертифікатів, виданих одним довіреним центром сертифікації. Під довіреною центром розуміється головний ЦС, відкритий ключ якого міститься в самоподпісанного сертифікаті. Таке обмеження спрощує процедуру верифікації, хоча наявність самоподпісанного сертифіката і його криптографічний перевірка не забезпечують безпеки. Для забезпечення довіри до відкритого ключа такого сертифіката повинні бути застосовані спеціальні способи його поширення та зберігання, так як на даному відкритому ключі перевіряються всі інші сертифікати.
Алгоритм верифікації ланцюжків використовує наступні дані:
· Х.500 ім'я Видавця сертифіката;
· Х.500 ім'я Власника сертифіката;
· відкритий ключ Видавця;
· термін дії відкритого (секретного) ключа Видавця і Власника;
· обмежують доповнення, використовувані при верифікації ланцюжків (basicConstraints, nameConstraints, policyConstrains);
· СОС для кожного Видавця (навіть якщо він не містить відкликаються сертифікатів).
Ланцюжок сертифікатів являє собою послідовність з n сертифікатів, в якій:
· для всіх x в {1, (n - 1)}, Власник сертифіката x є Видавець сертифікату x + 1;
· сертифікат x=1 є самоподпісанний сертифікат;
· сертифікат x=n є сертифікат кінцевого користувача.
Одночасно з ланцюжком сертифікатів використовується ланцюжок СОС, що представляє собою послідовність з n СОС, в якій:
· для всіх СОС x в {1, n}, Видавець сертифікату x є Видавець СОС x;
· СОС x=1 є СОС, виданий Власником самоподпісанного сертифіката;
· СОС x=n є СОС, виданий Видавцем сертифікат кінцевого користувача.
Після побудови двох ланцюжків (сертифікатів та СВС) виконується:
· криптографічний перевірка сертифікатів та СВС в ланцюжках;
· перевірка термінів дії сертифікатів та СВС;
· перевірка відповідності імен Видавця і Власника з використанням доповнення nameConstraints;
· перевірка довжини ланцюжка з використанням доповнення basicConstraints;
· перевірка на відгук сертифікатів, причому, якщо сертифікат проміжного центру був відкликаний СОС вищестоящого центру, всі сертифікати, видані проміжним центром, вважаються недійсними;
· перевірка прийнятних регламентів використання сертифіката і прийнятних областей використання ключа з використанням доповнень certificatesPolicies і extendedKeyUsage.
До складу компонент ІВК входять наступні компоненти:
· Центр Сертифікації;
· Центр Реєстрації;
· Кінцеві користувачі;
· Мережевий довідник.
Центр Сертифікації (або Засвідчувальний Центр) - основна керуюча компонента ІВК, призначена для формування електронних сертифікатів підлеглих Центрів та кінцевих користувачів. Крім сертифікатів, ЦС формує список відкликаних сертифікатів X.509 CRL (СОС) з регулярністю, визначеної Регламентом системи.
До основних функцій ЦС відносяться:
· формування власного секретного ключа та сертифіката ЦС;
· формування сертифікатів підлеглих Центрів;
· формування сертифікатів відкритих ключів кінцевих користувачів;
· формування списку відкликаних сертифікатів;
· ведення бази всіх виготовлених сертифікатів та списків відкликаних сертифікатів.
Центр Реєстрації? Опциональная компонента ІВК, призначена для реєстрації кінцевих користувачів. Основне завдання ЦР - реєстрація користувачів та забезпечення їх взаємодії з ЦС. У завдання ЦР може також входити публікація сертифікатів та СВС в мережевому довіднику LDAP.
Користувачі? Користувач, додаток або система, що є Власник...
