Конечные пользователи
Конечные пользователи – пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Сертификат открытого ключа
Сертификат открытого ключа (чаще всего просто сертификат) – это данные пользователя и его открытый ключ, скрепленные подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.
По своей сущности сертификат является справкой, официальным документом, имеющим свои атрибуты. Формирование первичного сертификата производится только при личной встрече субъекта и представителя УЦ. Это может быть представитель основного УЦ, подчиненного УЦ или РЦ. В любом случае субъект становится пользователем основного УЦ, и руководствуется доверием к нему. В последующем, обновление сертификата может происходить удалённо.
Сертификат выдаётся в электронной форме для работы в информационных системах, а так же может быть выдан в печатной форме, для предъявления в различных организациях в случае необходимости, либо для украшения стены офиса.
Сертификат имеет определенный набор полей соответствующего формата. Требования к сертификату описаны в международном стандарте X.509, имеющем уже несколько версий. В настоящее время самой распространённой является версия 3.
Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF).
ПРИМЕР СЕРТИФИКАТА X.509 v 3.
Version |
Версия сертификата |
3 |
|||
Certificate Serial Number |
Серийный номер сертификата |
40:00:00:00:00:00:00:ab:38:1e:8b:e9:00:31:0c:60 |
|||
Signature Algorithm Identifier |
Идентификатор алгоритма ЭЦП |
ГОСТ Р 34.10-94 |
|||
Issuer X.500 Name |
Имя Издателя сертификата |
C=RU, ST=Moscow,O=PKI, CN=Certification Authority |
|||
Validity Period |
Срок действия сертификата |
Действителен с : Ноя 2 06:59:00 1999 GMT Действителен по : Ноя 6 06:59:00 2004 GMT |
|||
Subject X.500 Name |
Имя Владельца ключа |
C=RU, ST=Moscow, O=PKI, CN=Sidorov |
|||
Subject Public Key Info |
Открытый ключ Владельца |
тип ключа: Открытый ключ ГОСТ длина ключа: 1024 значение: AF:ED:80:43..... |
|||
Issuer Unique ID version 2 |
Уникальный идентификатор Издателя сертификата |
|
|||
Subject Unique ID version 2 |
Уникальный идентификатор Владельца ключа |
|
|||
|
дополнения |
||||
|
|||||
|
|||||
CA Signature ЭЦП Центра Сертификации |
|||||
Поля сертификата
Давайте более подробно познакомимся с содержанием и значениям, отображаемыми в полях сертификата [21].
Версия
Данное поле описывает версию сертификата. По умолчанию предполагается первая версия сертификата. Если в поле версии указывается 2, то сертификат содержит только уникальные идентификаторы, а если 3, то в сертификат включаются и уникальные идентификаторы, и дополнения
Рис. 25. Различие версий сертификата
Серийный номер сертификата
Серийный номер является целым числом, устанавливаемым удостоверяющим центром для каждого сертификата. Значение должно быть уникальным для каждого сертификата, выпущенного данным УЦ. Имя Издателя и серийный номер сертификата совместно являются уникальным идентификатором сертификата.
Идентификатор алгоритма ЭЦП
Поле содержит идентификатор криптографического алгоритма, используемого УЦ для выработки ЭЦП сертификата.
Имя Издателя сертификата
Поле Издатель идентифицирует объект (субъект), который сформировал ЭЦП и издал сертификат. Значение в поле Издатель должно содержать ненулевое значение DN (distinguished name). Значение поля состоит из набора иерархических атрибутов, таких как код страны и соответствующего ему значения (AttributeValue, например, RU).
Срок действия сертификата
Данное поле определяет срок действия (в виде временного интервала) в течение которого УЦ управляет сертификатом (отслеживает состояние). Поле представляет последовательность двух дат: дата начала действия сертификата (notBefore) и дата окончания срока действия сертификата (notAfter).
Имя Владельца ключа
Поле Владелец идентифицирует объект (субъект), являющийся обладателем секретного ключа, соответствующего открытому ключу в сертификате.
Открытый ключ Владельца
Данное поле используется для хранения открытого ключа и идентификации алгоритма, соответствующего открытому ключу.
Уникальный идентификатор Издателя и Владельца
Данное поле может использоваться только в сертификатах версии 2 или 3. Поле было предусмотрено в версии 2 сертификатов X.509 для целей обеспечения использования одинакового имени Владельца или Издателя в разных сертификатах. С введением дополнений в версии 3 такая необходимость отпала.
Дополнения
Дополнительная информация, определяющая область использования сертификата, и другие необходимые параметры, не вошедшие в основные поля [25].
Дополнения сертификатов X.509 определены рекомендациями Х.509 версии 3 Международного Союза по телекоммуникациям и документом RFC 3280.
Все дополнения можно разделить на две категории: ограничивающие и информационные. Первые ограничивают область применения ключа, определенного сертификатом, или самого сертификата. Вторые содержат дополнительную информацию, которая может быть использована в прикладном программном обеспечении пользователем сертификата.
К ограничивающим дополнениям относятся:
основные ограничения (Basic Constraints) – используется только для удостоверяющих центров, позволяет различать субъекты сертификатов и оценивать возможность построения пути сертификации;
назначение ключа (Key Usage) – отражает области применения секретного ключа, соответствующего указанному в сертификате открытому ключу;
расширенное назначение ключа (Extended Key Usage) – определяет характер использования ключа в конкретной прикладной области. Это может быть защита сообщений электронной почты, шифрование файлов, электронная подпись, SSL-аутентификация и т.д.;
политики применения сертификата (Certificates Policies, Policy Mappings, Policy Constraints);
ограничения на имена (Name Constraints).
К информационным дополнениям относятся:
идентификаторы ключей (Subject Key Identifier, Authority Key Identifier);
альтернативные имена (Subject Alternative Name, Issuer Alternative Name, Other Name);
пункт распространения списка аннулированных сертификатов (CRL Distribution Point, Issuing Distribution Point);
способ доступа к информации УЦ (Authority Access Info).
Стандарт X.509 позволяет вводить любые другие дополнения, необходимость которых определяется их использованием в конкретной системе.
Дополнение Subject Alternative Name (альтернативное имя субъекта) позволяет расширить границы идентификации владельца сертификата при помощи альтернативных имен, таких как DNS-имена, IP-адреса, URI-адреса или адреса электронной почты Интернета. Альтернативное имя должно проверяться в соответствии с регламентом УЦ.
Помимо зарегистрированных типов имен УЦ может использовать свои собственные имена, задавая их в поле Other Name. Аналогичная информация содержится и в дополнении Issuer Alternative Name, характеризующем издателя сертификата.
Удостоверяющие центры могут иметь много пар ключей, и дополнение Authority Key Identifier (идентификатор ключа УЦ) помогает пользователям выбрать правильный ключ для верификации подписи на сертификате.
Пользователи также могут владеть несколькими парами ключей или несколькими сертификатами для одного и того же ключа. Дополнение Subject Key Identifier (идентификатор ключа субъекта) используется для того, чтобы различать ключи подписи в сертификатах одного и того же владельца.
Дополнение CRL Distribution Point задает идентификатор ресурса для указания местонахождения списка отозванных сертификатов.
Различные организации используют разные политики применения сертификатов (в том числе, приложений, использующих PKI), и пользователи при этом не всегда способны их различить. Но при принятии решения они могут ориентироваться на дополнение Certificate Policies (политики применения сертификата). Это дополнение содержит уникальный идентификатор объекта, характеризующий политику применения сертификатов, в соответствии с которой был выпущен данный сертификат, и назначение этого сертификата.
Дополнение Policy Mappings (соответствие политик) используется, если субъектом сертификата является УЦ. С помощью этого дополнения можно устанавливать соответствие между политиками применения сертификатов разных удостоверяющих центров.
Выпуск сертификата одним УЦ для другого является подтверждением надежности сертификатов последнего. Существует три основных способа подтвердить надежность некоторого множества сертификатов. Во-первых, это можно сделать при помощи дополнения Basic Constraints (описанного выше). Второй способ состоит в описании множества сертификатов на основании имен, указанных в поле имени субъекта или альтернативного имени субъекта, в дополнении Name Constraints (ограничения на имена). Это дополнение может использоваться для задания множества допустимых имен или множества неразрешенных имен.
В-третьих, для описания множества сертификатов на основании ограничений политик можно использовать дополнение Policy Constraints (ограничения политик). Это дополнение используется только в сертификатах УЦ и задает проверку пути к политике, запрашивая идентификаторы политик и (или) запрещая задание соответствия политик.
Если УЦ выдает универсально надежные сертификаты, то нет необходимости явно указывать в них политики применения сертификатов. Если же сертификаты УЦ, признанного надежным в определенном домене, используются вне этого домена, то требуется явное указание политики применения во всех сертификатах пути сертификации.