ВУЗ:
Составители:
Рубрика:
• при удалении (выбытии) пользователя из системы;
• при смене роли пользователя в системе (перемещении
пользователя).
Аннулирование сертификата – это чрезвычайное обстоятельство, в
котором необходимо оповестить всех участников криптосистемы.
Существуют два способа решения этой задачи.
• Проверка статуса сертификата в режиме реального времени.
Для этого требуется выполнение специального протокола с УЦ открытых
ключей, который отвечает на вопрос, не был ли запрошенный сертификат
аннулирован.
• Периодическое создание и рассылка списков аннулированных
сертификатов (CRL - Certificate Revocation List). Формат CRL определен в
стандарте ITU X.509 v2. Второй способ на практике используется чаще.
Однако у него есть один существенный недостаток: между двумя
последовательными рассылками списка аннулированных сертификатов
всегда существует какой-то временной «зазор», т. е. об аннулировании
сертификата какого-либо участника все остальные участники узнают не
мгновенно, а только по прошествии некоторого времени. Наличие такого
разрыва создает угрозу несанкционированного использования
аннулированного ключа.
УЦ рассылает всем участникам системы свой открытый ключ который
нужен им для проверки подписи на сертификатах. Считается, что
подменить его невозможно в силу трех причин: массовости рассылки,
периодического повтора и общедоступности.
В криптосистемах с большим числом участников или с большой
интенсивностью потока требований к УЦ функции регистрации
участников нередко возлагают на специально выделяемый центр
регистрации (Registration Authority – RA).
Сертификаты всех участников криптосистемы могут либо храниться в
специальном общедоступном хранилище, либо рассылаться по сети. На
практике преимущественно используется первый способ, причем
физически хранилище сертификатов чаще всего реализуется либо с
использованием директориального сервиса (как директория, к которой
открыт доступ на чтение всем участникам), либо веб-сервиса (как веб-
страница, с которой все участники криптосистемы могут забирать
сертификаты).
Преимущество сертификата состоит в том, что два участника системы
(к примеру, два узла VPN), доверяющие одному и тому же УЦ, могут не
знать и не хранить открытые ключи никаких других абонентов, а при
необходимости обратиться в УЦ и получить необходимые ключи. Для
этого ему достаточно знать только открытый ключ УЦ. Это позволяет
применять метод сертификации открытых ключей в криптосистемах со
сколь угодно большим и даже неопределенным числом участников, где все
93
при удалении (выбытии) пользователя из системы;
при смене роли пользователя в системе (перемещении
пользователя).
Аннулирование сертификата это чрезвычайное обстоятельство, в
котором необходимо оповестить всех участников криптосистемы.
Существуют два способа решения этой задачи.
Проверка статуса сертификата в режиме реального времени.
Для этого требуется выполнение специального протокола с УЦ открытых
ключей, который отвечает на вопрос, не был ли запрошенный сертификат
аннулирован.
Периодическое создание и рассылка списков аннулированных
сертификатов (CRL - Certificate Revocation List). Формат CRL определен в
стандарте ITU X.509 v2. Второй способ на практике используется чаще.
Однако у него есть один существенный недостаток: между двумя
последовательными рассылками списка аннулированных сертификатов
всегда существует какой-то временной «зазор», т. е. об аннулировании
сертификата какого-либо участника все остальные участники узнают не
мгновенно, а только по прошествии некоторого времени. Наличие такого
разрыва создает угрозу несанкционированного использования
аннулированного ключа.
УЦ рассылает всем участникам системы свой открытый ключ который
нужен им для проверки подписи на сертификатах. Считается, что
подменить его невозможно в силу трех причин: массовости рассылки,
периодического повтора и общедоступности.
В криптосистемах с большим числом участников или с большой
интенсивностью потока требований к УЦ функции регистрации
участников нередко возлагают на специально выделяемый центр
регистрации (Registration Authority RA).
Сертификаты всех участников криптосистемы могут либо храниться в
специальном общедоступном хранилище, либо рассылаться по сети. На
практике преимущественно используется первый способ, причем
физически хранилище сертификатов чаще всего реализуется либо с
использованием директориального сервиса (как директория, к которой
открыт доступ на чтение всем участникам), либо веб-сервиса (как веб-
страница, с которой все участники криптосистемы могут забирать
сертификаты).
Преимущество сертификата состоит в том, что два участника системы
(к примеру, два узла VPN), доверяющие одному и тому же УЦ, могут не
знать и не хранить открытые ключи никаких других абонентов, а при
необходимости обратиться в УЦ и получить необходимые ключи. Для
этого ему достаточно знать только открытый ключ УЦ. Это позволяет
применять метод сертификации открытых ключей в криптосистемах со
сколь угодно большим и даже неопределенным числом участников, где все
93
Страницы
- « первая
- ‹ предыдущая
- …
- 91
- 92
- 93
- 94
- 95
- …
- следующая ›
- последняя »
