Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Обмежувальні розширення сертифіката

Розширення сертифіката

 

З метою забезпечення гнучкості та масштабованості стандарт визначає механізми розширення сертифіката. У них міститься важлива інформація. Так, розширення дозволяють включати до сертифіката інформацію, яка не може бути представлена в основних полях.

Розширення, що затверджені цим стандартом, можна поділити на дві категорії: обмежувальні та інформаційні [13, 14]. Обмежувальні розширення обмежують область застосування ключа або самого сертифіката. Інформаційні розширення містять додаткову інформацію, яка може бути використана в прикладному програмному забезпеченні користувача сертифіката.

Базові обмеження (BasicConstraints). Розширення BasicConstraints дозволяє розрізняти суб’єкти сертифіката, оскільки основні поля сертифіката не розділяються залежно від типу користувача. Окрім цього, розширення визначає максимальну глибину дійсного шляху сертифікації, який включає цей сертифікат. Розширення є критичним.

Використання ключа (Key Usage). РозширенняKeyUsage визначає область використання ключа, що міститься в сертифікаті. Це розширення має вигляд бітового рядка, де кожен біт означає призначення ключа: цифровий підпис (0), причетність (1), шифрування ключа (2), шифрування даних (3), узгодження ключів (4), перевірка підпису сертифіката (5), підпис ССС (6), тільки шифрування (7), тільки розшифрування (8). Для визначення призначення потрібний біт встановлюється в 1. Можливе спільне використання бітів.

Розширене використання ключів (ЕxtKeyUsage).Це розширення визначає цілі, для яких може використовуватись сертифікований відкритий ключ, додатково до цілей, указаних у розширенні використання ключа. Звичайно, це розширення використовується для сертифікатів кінцевих об’єктів.

Політики застосування сертифікатів. До цієї групи можна віднести обмежувальні розширення CertificatePolicies, PolicyMappings та РolicyConstraints.

Розширення CertificatePolicies містить інформацію про правила застосування сертифіката. Організації можуть підтримувати досить велике коло додатків. Деякі сертифікати бувають більш надійними залежно від процедур їх випуску або типів криптографічних модулів (наприклад, посилені сертифікати, які створені надійними засобами цифрового підпису). Різні організації та відомства використовують різні політики застосування сертифікатів. При цьому користувачі не завжди спроможні розрізняти ці політики. Для вирішення цієї проблеми використовується розширення CertificatePolicies. Це розширення містить унікальний ідентифікатор, який характеризує політику застосування сертифікатів.

Розширення PolicyMappingsвикористовується УС. За допомогою розширення УС може фіксувати відповідність деяких своїх політик застосування сертифіката політикам застосування сертифікатів іншого УС. Розширення містить одну чи більше пар об’єктних ідентифікаторів. Кожна пара включає ІssuerDomainPolicy та SubjectDomainPolicy. Це вказує на те, що УС, який випустив сертифікат, вважає свою політику такою, що відповідає політиці суб’єкта.

За допомогою розширення РolicyConstraints надається можливість об’явити неправомочним розширення PolicyMappings у разі, якщо сертифікація виходить за межі домену. Обмеження впроваджується двома способами: використанням заборони відображення політики або вимогою, щоб кожний сертифікат на шляху містив ідентифікатор доступної політики.

Обмеження імені (NameConstraints). РозширенняNameConstraints вказує на те, у якому просторі імен мають знаходитись імена. Ці обмеження накладаються на розпізнавальні імена та на альтернативні імена суб’єкта. Таким чином, розширення використовується для визначення множини припустимих або неприпустимих імен та є механізмом підтвердження надійності сертифікатів.

Заборона будь-якої політики (ІnhibitAnyPolicy). Розширення Іnhibit AnyPolicy обмежує використання будь-якої політики. Воно вказує на те, що спеціальне значення any-policy не задається у явному вигляді для інших політик застосування сертифікації.

Інформаційні обмеження сертифіката

Ідентифікатори ключів. Стандарт для ідентифікації ключів визначає два розширення: AuthorityKeyIdentifier та SubjectKeyІdentifier. Розширення AuthorityKeyIdentifier надає засоби ідентифікації відкритого ключа УС, який узгоджений з особистим ключем, що був використаний для підпису сертифіката. Це розширення використовується у разі, коли емітент має декілька ключів для підпису.

Користувачі також можуть володіти великою кількістю ключів або декількома сертифікатами для одного ключа. Розширення SubjectKeyIdentifier використовується для того, щоб розпізнавати ключі підпису одного й того самого користувача.

Альтернативні імена. З метою розширення границь ідентифікації суб’єктів сертифіката вводяться розширення SubjectAltName та IssuerAltName. Розширення дозволяють використовувати альтернативні імена, наприклад DNS-ім’я, IP-адреси, URL, e-mail тощо. Альтернативне ім’я повинно перевірятися у відповідності до регламенту УС. Окрім цього підтримується можливість використовувати свої власні імена.

Період використання особистого ключа. Поле PrivateKeyUsagePeriod визначає період дійсності для особистого ключа в тому випадку, коли цей період відрізняється від періоду дійсності сертифіката. Поле складається з двох компонент: час початку і закінчення дії особистого ключа.

Атрибути Каталогу Суб’єкта. Розширення SubjectDirectoryAttributes використовується для передачі ідентифікаційних атрибутів суб’єкта. Розширення подається як послідовність одного чи більше атрибутів.

Пункти розповсюдження списку скасування сертифікатів (ССС). Розширення CRLDistributionPoints задає унікальний ідентифікатор ресурсу – URL для вказівки місцезнаходження списку скасування сертифікатів, а також ідентифікує способи отримання інформації.

Найновіший ССС.Розширення freshestCRL показує, як може бути отримана інформація відносно дельта-ССС. Воно має бути некритичним.

 

 


Читайте також:

  1. Загальними мотивами, що спонукають фірми брати участь у міжнародному бізнесі, є можливість розширення продажу, придбання нових джерел ресурсів, диверсифікація.
  2. Заняття ф.в. у межах розширення активного відпочинку.
  3. Здатність до стиску та температурне розширення
  4. Зміна висоти голосу, тобто розширення його діапазону
  5. Зміною в ціннісній пропозиції товару або послуги може бути абсолютно новий товар або послуга або ж розширення існуючої пропозиції.
  6. Князювання Святослава (964—972 рр.) — сина Ольги й Іго­ря — було спрямовано в основному на розширення кордонів Русі і збройну боротьбу із сусідами.
  7. Необхідність розширення множини цілих чисел.
  8. Плавне розширення русла - дифузор
  9. Поглиблення і розширення європейської інтеграції. Країни Європейського Союзу в міжнародних відносинах
  10. Поля сертифіката з розширеннями
  11. Поля ССС та розширення




Переглядів: 976

<== попередня сторінка | наступна сторінка ==>
Поля сертифіката з розширеннями | Інфраструктура управління ключами США.

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.003 сек.