Защита информации в компьютерных сетях. Кулябов Д.С. - 119 стр.

UptoLike

ВУЗ:

РУДН | Москва

Составители:

Кулябов Д.С.

Рубрика:

Компьютерные сети и телекоммуникации

ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ 119

— регламенты сертификата (модифицируемые ограничениями регла-

ментов и соответствием регламентов) (certificatesPolicies);

— ограничения имен (nameConstraints).

К информационным дополнениям относятся:

— идентификаторы ключей (subjectKeyIdentifier, authorityKeyIdenti-

fier);

— альтернативные имена (subjectAltName, issuerAltName);

— точка распространения СОС (cRLDistributionPoint, issuingDistribu-

tionPoint);

— способ доступа к информации CA (authorityAccessInfo).

Вместе с этим стандарт X.509 позволяет определить любые другие

дополнения, необходимость которых определяется их использованием в

конкретной системе (например: протокол SET).

ИДЕНТИФИКАТОР КЛЮЧА ИЗДАТЕЛЯ. Дополнение Идентификатор клю-

ча Издателя (authorityKeyIdentifier) используется для идентификации от-

крытого ключа, соответствующего секретному ключу ЭЦП, использован-

ному CA при подписи издаваемого сертификата (или СОС). Данное до-

полнение может быть использовано в случае, когда Издатель сертификата

(CA) имеет несколько различных секретных ключей ЭЦП (например при

плановой их смене), а также для однозначного построения цепочек серти-

фикатов.

ИДЕНТИФИКАТОР КЛЮЧА ВЛАДЕЛЬЦА. Данное дополнение использует-

ся для идентификации различных сертификатов, содержащих открытый

ключ. Для упрощения процедуры построения цепочки данное дополне-

ние должно устанавливаться во всех сертификатах CA, которые включа-

ют дополнение basicConstraints с установленным значением cA TRUE. Во

всех издаваемых CA сертификатах значение keyIdentifier в дополнении

authorityKeyIdentifier должно быть идентично значению subjectKeyIdenti-

fier сертификата CA.

Для сертификатов значение subjectKeyIdentifier должно вырабатывать-

ся из открытого ключа или с использованием метода генерации уникаль-

ных значений. Рекомендациями RFC 2459 предлагается два метода гене-

рации идентификатора на основе значения открытого ключа:

1. Значение keyIdentifier определяется как 160 бит хэш-функции, вы-

числяемой по алгоритму SHA-1 из значения BIT STRING subject-

PublicKey (исключая тэг, длину и неиспользованные биты).

2. Значение keyIdentifier определяется как 4-x битовое поле со значе-

нием 0100 и последующим за ним 60 битами наименьшей значимой

части хэш-функции, вычисляемой по алгоритму SHA-1 из значения

BIT STRING subjectPublicKey.

Для идентификации без использования открытого ключа можно также

использовать монотонно возрастающую последовательность целых чисел.

Для сертификатов конечного пользователя данное дополнение исполь-

зуется для идентификации приложением различных сертификатов, содер-

жащих определенный открытый ключ. Если конечный пользователь об-

ладает несколькими сертификатами, особенно от разных CA, данное до-

Заказать работу

Вы здесь

Защита информации в компьютерных сетях. Кулябов Д.С. - 119 стр.

UptoLike

ВУЗ:

Кулябов Д.С.

Компьютерные сети и телекоммуникации

Страницы