Защита информации в компьютерных сетях. Кулябов Д.С. - 124 стр.

UptoLike

ВУЗ: 

РУДН | Москва

Составители: 

Рубрика: 

124 Д. С. КУЛЯБОВ
В этом случае отзывы сертификатов с кодами keyCompromise и cACom-
promise располагаются в одной точке распространения, а все остальные
в другой.
СПОСОБ ДОСТУПА К ИНФОРМАЦИИ CA. Данное дополнение определено
в рекомендациях IETF RFC 2459 отличие от остальных стандартных
дополнений, которые определены как в рекомендациях X.509, так и в
RFC 2459).
Данное дополнение указывает на способы доступа к информации и
сервисам CA, издавшим сертификат, в котором это дополнение установ-
лено. Информация и сервис могут включать процедуры интерактивной
проверки и получения Регламента егламентов) CA. Способ получения
CRL не специфицируется данным дополнением, для этого используется
дополнение cRLDistributionPoints.
4.4.8. ВЕРИФИКАЦИЯ ЦЕПОЧКИ СЕРТИФИКАТОВ
Доверие любому сертификату пользователя определяется на основе
цепочки сертификатов. Причем начальным элементом цепочки является
сертификат CA, хранящийся в защищенном персональном справочнике
пользователя.
Процедура верификации цепочки сертификатов описана в рекоменда-
циях X.509 и RFC 2459 [31] и проверяет связанность между именем
Владельца сертификата и его открытым ключом. Процедура верифика-
ции цепочки подразумевает, что все «правильныe» цепочки начинаются с
сертификатов, изданных одним CA. Под доверенным центром понимает-
ся главный CA, открытый ключ которого содержится в самоподписанном
сертификате. Такое ограничение упрощает процедуру верификации, хотя
наличие самоподписанного сертификата и его криптографическая провер-
ка не обеспечивают безопасности. Для обеспечения доверия к открытому
ключу такого сертификата должны быть применены специальные спосо-
бы его распространения и хранения, так как на данном открытом ключе
проверяются все остальные сертификаты.
Алгоритм верификации цепочек использует следующие данные:
Х.500 имя Издателя сертификата;
Х.500 имя Владельца сертификата;
открытый ключ Издателя;
срок действия открытого (секретного) ключа Издателя и Владельца;
ограничивающие дополнения, используемые при верификации цепо-
чек;
CRL для каждого Издателя аже если он не содержит отзываемых
сертификатов).
Цепочка сертификатов представляет собой последовательность из n
сертификатов, в которой:
для всех x в {1, (n 1)}, Владелец сертификата x есть Издатель
сертификата x + 1;
сертификат x = 1 есть самоподписанный сертификат;
сертификат x = n есть сертификат конечного пользователя.

Страницы