Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Поля сертифіката з розширеннями

Формат сертифіката відкритого ключа

Формат сертифіката версії 3 стандарту ДСТУ ITU-T Rec. X.509 | ISO/IEC 9594-8

Щодо ІВК в стандарті використовуються дві основні структури даних: сертифікат відкритого ключа та список скасування сертифікатів. У цьому параграфі згідно із стандартом наводяться формати сертифіката відкритого ключа та списку скасування сертифікатів [13, 14].

При використанні відкритого ключа користувачі потребують упевненості в тому, що особистий ключ, асоційований з даним відкритим ключем, є власністю саме того суб’єкта (особистості чи системи), який використовує його для цифрового підпису чи шифрування. Указане досягається шляхом використання сертифікатів відкритого ключа. Сертифікат відкритого ключа являє собою структуру даних, що зв’язує значення відкритого ключа з суб’єктом та третьою довірчою стороною – уповноваженим на сертифікацію, якою є, скажімо, ЦСК. Цей зв’язок підтверджується цифровим підписом, який виробляється уповноваженим на сертифікацію з використанням особистого ключа. Також у зв’язку з тим, що підпис сертифіката та його строк чинності можуть бути незалежно перевірені кінцевим об’єктом, який використовує сертифікат, сертифікат може розповсюджуватись через ненадійні канали зв’язку та серверні системи, а також може зберігатись у незахищеному сховищі в системі, яка використовує сертифікат. Сертифікат має обмежений строк чинності.

ДСТУ ITU-T Rec. X.509 | ISO/IEC 9594-8 визначає стандартний формат сертифіката. Формат сертифіката в стандарті 1988-го року називається форматом 1-ї версії (v1). При перегляді стандарту в 1993 році додали два поля, і цей формат став форматом версії 2 (v2). При останньому перегляді стандарту ISO/IEC, ITU-T та ANSI X9 розробили X.509-ту версію сертифіката, що називається версією 3 (v3).

Сертифікат має однозначно визначену певну структуру зі стандартним набором полів. Усі ці поля будуть описані нижче. Усі дані, які потрібно підписати, кодуються за правилами розпізнаного кодування ASN.1 (DER) [219].

Сертифікат являє собою сукупність полів, у які записується певна інформація. Приклад полів сертифіката v3 наведено в таблиці 16.1.

 

 

Таблиця 16.1

Поля Призначення поля
version Описує версію сертифіката (v1, v2, v3)
SerialNumber Унікально ідентифікує сертифікат
signature algorithm Містить ідентифікатор для алгоритму, який використовується для підпису сертифіката
parameters Необов’язкові параметри алгоритму
issuer Указує на об’єкт, який підписав і випустив сертифікат
validity notBefore Період чинності сертифіката: Дата та час початку дії
notAfter Дата та час закінчення дії
subject Ідентифікує об’єкт, зв’язаний з відкритим ключем, що зберігається в полі»відкритий ключ суб’єкта»
SubjectPublicKeyInfo  
algorithm Ідентифікує алгоритм, з яким використовується ключ
SubjectPublicKey Містить відкритий ключ
UniqueIdentifiers Служать для виключення можливості повторного використання імен емітента та суб’єкта
AuthorityKeyIdentifier Ідентифікатор ключа уповноваженого
KeyIdentifier Іентифікатор ключа
AuthorityCertIssuer Назва уповноваженого
AuthorityCertSerialNumber Серійний номер сертифіката уповноваженого
SubjectKeyIdentifier Ідентифікатор ключа суб’єкта
KeyUsage Використання ключа, бітовий рядок, де кожен біт вказує призначення ключа
PrivateKeyUsagePeriod Строк дії таємного ключа підпису
CertificatePolicies Містить послідовність з одного чи більше термів інформації політики
PolicyMappings IssuerDomainPolicy Використовується тільки для сертифіката уповноваженого
SubjectDomainPolicy  
SubjectAltName Надає альтернативне ім’я суб’єкту
IssuerAltName Надає альтернативне ім’я емітенту
BasicConstraints Відрізняє ключ уповноваженого від ключів кінцевих об’єктів
NameConstraints Визначає сертифікацію домену по відношенню до підпорядкованого
SubjectDirectoryAttributes Атрибути суб’єкта
CRLDistributionPoints Пункти розповсюдження ССС

 

 

Основні поля сертифіката

Полеversion (версія) описує версію сертифіката. Якщо використовуються розширення сертифіката, то версія має бути 3 (значення 2). Якщо немає розширень, але присутній UniqueIdentifier, то версія має бути 2 (значення 1). Якщо присутні тільки базові поля, то версія має бути 1 (значення опускається). Реалізації, що застосовуються, повинні бути готові розпізнавати й підтримувати будь-яку версію сертифіката. Але щонайменше реалізації повинні розпізнавати версію 3.

Поле SerialNumber (серійний номер) повинне бути невід’ємним цілим числом, яке назначається УС кожному сертифікату. Воно має бути унікальним для кожного сертифіката, що випущений даним УС, оскільки ім’я емітента і серійний номер забезпечують унікальність сертифіката. Серійний номер може бути великим цілим числом. Користувачі сертифіката мають бути спроможними використовувати значення SerialNumber довжиною до 20 октетів. УС не повинні використовувати значення довше, ніж 20 октетів.

Поле signature (підпис) містить ідентифікатор алгоритму, який використовується УС для підпису сертифіката. Це поле повинно містити те саме значення, що й поле SignatureAlgorithm у послідовності Certificate. Вміст поля необов’язкових параметрів може змінюватись залежно від алгоритму. Можуть використовуватись як стандартні, так і інші ідентифікатори алгоритму.

Поле «Емітент» (issuer) вказує на об’єкт, який підписав і випустив сертифікат. Воно повинно містити непусте розпізнавальне ім’я (DN). Поле емітента має тип Name з X.501. Цей тип складається з атрибутів. Стандартний набір атрибутів визначений у X.516. У полях емітент і суб’єкт можуть міститись такі атрибути:

країна;

організація;

підрозділ організації;

специфікатор розпізнавального імені;

назва штату чи області;

загальне ім’я;

серійний номер.

Як додаток реалізації повинні бути готові отримати такі атрибути:

місцевість;

звання;

прізвище;

дане ім’я;

ініціали;

псевдонім;

специфікатор номера версії.

Поле validity (дійсність) сертифіката вказує інтервал часу, протягом якого УС гарантує, що буде підтримувати інформацію про статус сертифіката. Поле визначається як послідовність із двох дат: дати початку періоду дійсності (notBefore) і дати закінчення цього періоду (notAfter). Обидві дати можуть бути представлені у форматі UTCTime чи GeneralizedTime [57, 59].

Поле Subject (суб’єкт) ідентифікує об’єкт, зв’язаний з відкритим ключем, який зберігається в компоненті SubjectPublicKey поля»Інформація про відкритий ключ суб’єкта». Ім’я суб’єкта може передаватися в полі суб’єкта та/чи у розширені SubjectAltName.

Якщо поле суб’єкта не пусте, то воно має містити розпізнавальне ім’я X.500 (DN). Це ім’я має бути унікальним для кожного суб’єкта, сертифікованого одним УС. УС може випустити більше ніж один сертифікат з одним і тим самим DN для одного й того ж суб’єкта. Суб’єктом може виступати як УС, так і кінцевий об’єкт.

Поле SubjectPublicKeyInfo ( ) (Інформація про відкритий ключ суб’єкта) використовується для розміщення відкритого ключа та ідентифікації алгоритму, з яким використовується ключ. Алгоритм ідентифікується за допомогою структури Algorithm Identifier.

Поля UniqueIdentifiers (Унікальні ідентифікатори) є тільки в сертифікатах версії 2 або 3. Унікальні ідентифікатори емітента та суб’єкта служать для захисту від повторного використання імен емітента та суб’єкта.


Читайте також:

  1. Обмежувальні розширення сертифіката




Переглядів: 703

<== попередня сторінка | наступна сторінка ==>
Загальна характеристика стандарту ДСТУ ISO/IEC 9594 -8: 2002!! ITU Х -509”. | Обмежувальні розширення сертифіката

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.02 сек.