Допълнения към сертификати
Курсът включва информация, необходима на специалистите в областта на информационната сигурност. Разгледана е технологията на инфраструктурите с публичен ключ (Public Key Infrastructure - PKI), която позволява използването на услуги за криптиране и цифров подпис в координация с широк набор от приложения, работещи в среда с публичен ключ. Технологията PKI се счита за единствената, която ви позволява да прилагате методи за проверка на цифровата самоличност при работа в отворени мрежи.
Курсът предоставя разбиране на основните концепции и подходи за внедряване на инфраструктури с публичен ключ, описва политиката за сигурност, архитектурата, структурите от данни, компонентите и услугите на PKI. Предложена е класификация на стандартите и спецификациите в областта на инфраструктурите с публичен ключ. Подробно са разгледани процесите на проектиране на инфраструктурата и подготовка за работа, обсъдени са типични случаи на използване и начини за реагиране на инциденти по време на работа на PKI.
Книга: Инфраструктури с публичен ключ
Допълнения към сертификати
Важна информация е включена и в приложенията към сертификата. Те ви позволяват да включите в сертификата информация, която не е в основното съдържание, да определите валидността на сертификата и дали собственикът на сертификата има права за достъп до определена система. В допълнение, приложенията съдържат технологична информация, която улеснява проверката на автентичността на сертификата. Всяка организация може да използва свои собствени частни добавки, които отговарят на конкретни бизнес изисквания. Повечето от изискванията обаче са включени в стандартните добавки, поддържани от търговски софтуерни продукти.
Незадължителното полеРазширениясе появява в сертификати версия 3. Всяко допълнениесе състои от идентификатор на типа разширениеИдентификатор на разширение,флаг за критичности действителната стойност на разширениетоСтойност на разширение. Идентификаторът на типа запълване определя формата и семантиката на стойността за запълване.Флагът за сериозностказва на приложението, използващо този сертификат, дали информацията за целта на сертификата е значима и дали приложението може да игнорира този тип подпълване. Ако дадена добавка е определена като критична и приложението не разпознава този тип добавка, тогава сертификатът не трябва да се използва от приложението. Приложението МОЖЕ да игнорира неразпознатата некритична добавка и да използва сертификата.
* основни ограничения (Основни ограничения);
* присвояване на клавиш (Използване на клавиш);
* разширено използване на ключ (Разширено използване на ключ);
* правила за прилагане на сертификати (Правила за сертификати,Съответствия на правила,Ограничения на правила);
* ограничения за имена (Ограничения за имена).
информационните добавкивключват:
* ключови идентификатори (Идентификатор на ключ на субект,Идентификатор на ключ на орган);
* алтернативни имена (Алтернативно име на субект,Алтернативно име на издател);
* точка за разпространение на списъка с анулирани сертификати (CRL точка за разпространение,Издаваща точка за разпространение);
* Метод за достъп до информация за CA (Информация за достъп до орган).
RFC 3280 сертификат & CRL профилът все още не препоръчва използването на разширениетоАтрибути на директорията на темата, което е предназначено да достави стойности на атрибути на директория X.500, които характеризиратсубекта на даденсертификат. Наред с това стандартът X.509 ви позволява да въвеждате всякакви други допълнения, необходимостта от които се определя от използването им в конкретна система (например в систематаSET).
Субектът на сертификат може да бъде краен потребител, система или CA. Основните полета насертификата са еднакви за всички предмети. За разграничаване междусубекти на сертификатии оценка на възможността за изграждане на път за сертифициране, добавкатаОсновни ограничения(основни ограничения) се използва само за сертифициращи органи.
ПодпълванетоИзползване на ключ(присвояване на ключ) отразява обхвата на частния ключ, съответстващ на публичния ключ , посочен всертификата. Колоната със същото име (таблица 6.1) изброява възможните области на приложение на ключа.
Потребителите могат също да притежават множество двойки ключове или множество сертификати за един и същи ключ. ПодпълванетоИдентификатор на ключ на субектсе използва за разграничаване между ключовете за подписване в сертификати на един и същи собственик.
ПодпълванетоCRL Distribution Pointуказва унифициран ресурсен идентификатор (URI), за да посочи местоположението на списъка с отменени сертификати, т.е. дефинира CAC точка за разпространение.
Организациите могат да поддържат голямо разнообразие от приложения, които използват PKI. Някои сертификати са по-надеждни от други в зависимост от процедурите за издаването им или типовете потребителски криптографски модули. Различните организации (компании или държавни агенции) използват различни политики за използване на сертификати, като потребителите не винаги могат да ги разграничат, но при вземането на решение могат да се ръководят от допълнениеПравила за сертификатиТова допълнение съдържа абсолютно уникален идентификатор на обект (Object Identifier - OID), който характеризира политиката на сертификата, съгласно която сертификатът е издаден, и целта на сертификата.Знак за критичноств полетоПолитики за сертификатиограничава използването на сертификата до една от идентифицираните политики - по този начин CA декларира, че издаденият от него сертификат трябва да се използва в съответствие с разпоредбите на една от политиките, посочени в списъка. Това може да защити CA от парични претенции от доверяваща се страна, която е злоупотребила със сертификата за целта или по начина, посочен в политиката за сертификат, посочена в сертификата.
Например, да кажем, че Департаментът по приходите трябва да издава сертификати на данъкоплатците, за да защити информацията за данъчни облекчения. Очевидно тази услуга е наясно и се стреми да минимизира риска от случайно издаване на сертификат на лошо удостоверено лице, тъй като ако сертификатът е издаден неправилно и се използва от нападател, могат да бъдат причинени значителни материални щети. Смята се, че маркирането на добавкатаCertificate Policies като критичнапозволява наиздателя на сертификатада намали риска при такива обстоятелства и да се защити от искове за щети. Освен това полето за подпълванеПравила за сертификатиможе да съдържа стойности на квалификатор за всяка идентифицирана политика за сертификат.
РазширениетоPolicy Mappings(съпоставяне на политики) се използва, акосубектът на сертификатае CA. С тази добавка можете да съпоставяте правилата на приложениятасертификати от различни сертифициращи органи.
Пример 6.1. Накарайте ACE да сключи споразумение за кръстосано сертифициране с ABC, за да осигури EDI >[167]. Всяка компания има собствена политика за сигурност на финансовите транзакции. Очевидно простото генериране на кръстосани сертификати няма да осигури необходимата оперативна съвместимост, тъй като всяка компания има собствена политика за конфигуриране на финансови приложения и издаване на сертификати за служители. Едно възможно решение е да преконфигурирате всички финансови приложения и да преиздадете всички сертификати, за да отговарят на двете политики. Друго, по-просто решение може да бъде използването на добавкатаPolicy Mappings. Ако полето на това допълнение включва кръстосано удостоверение, издадено от CA на ACE към CA на ABC, тогава политиката за сигурност на финансовите транзакции на ABC се счита за еквивалентна на политиката на ACE със същото име.
Издаването на сертификат от един УО за друг е потвърждение за надеждността на сертификатите на последния. Има три основни начина за валидиране на набор от сертификати. Първо, това може да се направи с помощта на добавкатаОсновни ограничения(описана по-горе). Вторият начин е да се опише набор от сертификати въз основа на имената, посочени в полето за име на субект или алтернативно име на субект в полетоОграничения за име(ограничения за име). Това допълнение може да се използва за указване на набор от валидни имена или набор от неразрешени имена.
Трето,Ограничения на политиката(Ограничения на политиката) могат да се използват за описание на множество сертификати въз основа на ограничения на политиката. Тази добавка се използва самов CA сертификати и указва валидиране на пътя на политиката чрез изискване на идентификатори на политика и/или деактивиране на съвпадение на политика за настройка >[2]. Ако CA издава универсално надеждни сертификати, тогава няма нужда изрично да се указват политики за прилагане на сертификати в тях. Въпреки това, ако сертификати от CA, който е надежден в конкретен домейн, се използват извън този домейн, тогава трябва да се посочи изрична политика за използване във всички сертификати на пътя на сертифициране. ПодложкатаОграничения на политикатаможе да се използва за невалидност на подложкатаСъответствия на политиката, когато сертифицирането е извън конкретен домейн. Това е от значение за контролиране на рисковете, произтичащи от „преходно“ доверие, когато домейнAсе доверява на домейнB, домейнBсе доверява на домейнC, но домейнAне иска да се доверява на домейнC. Ако са зададени ограничения на правилата за прилагане на сертификати, тогава потребителите няма да работят със сертификати, които не указват определени правила или изобщо нямат разширениеОграничения на правилата.
ПодпълванетоCertificate Policiesможе да бъде последвано от спецификатор за указване на допълнителна информация във всеки сертификат, независимо от политиката за сертификат. Стандартът X.509 не регламентира стриктно предназначението и синтаксиса на това поле. Типовете спецификатори на политики могат да бъдат регистрирани от всяка организация.
Следните спецификатори на правила се използват по подразбиране:
* b)Потребителско известиесъдържа указател към известие и/или текста на известие, което трябва да се появи на екрана на потребителя на сертификата (включително абонати и доверяващи се страни), преди да използва сертификата, и информира за правилата за използване на този сертификат.
Спецификаториполитиките могат да се използват за указване на допълнителни специфични подробности за политиката, които са съществени за общо описание на политиката за прилагане на сертификати.