Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
OCSP.doc
Скачиваний:
4
Добавлен:
23.02.2015
Размер:
101.89 Кб
Скачать

Проект

ЗатверджЕно

Наказ Державного комітету

інформатизації України

від "____"_________2008 р.

№  _____ / _____

НАЦІОНАЛЬНА СИСТЕМА ЕЛЕКТРОННОГО ЦИФРОВОГО ПІДПИСУ

Технічні специфікації протоколів взаємодії

Протокол визначення статусу сертифікату

2008 Зміст

ЗМІСТ 2

1 ЗАГАЛЬНІ ПОЛОЖЕННЯ 3

2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ 4

3 ПРОТОКОЛ ВЗАЄМОДІЇ 5

4 ФОРМАТИ ДАНИХ 7

5 ТРАНСПОРТНІ ПРОТОКОЛИ 11

ДОДАТОК 1. ФОРМАТИ ДАНИХ У НОТАЦІЇ ASN.1 12

ДОДАТОК 1. ФОРМАТИ ДАНИХ У НОТАЦІЇ ASN.1 12

  1. Загальні положення

Специфікації визначають протокол взаємодії об’єктів під час надання послуги інтерактивного визначення статусу сертифікату.

Специфікації засновані на RFC 2560 “Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSP”.

Формати повідомлень описано у нотації ASN.1, визначеній у ISO/IEC 8824 “Information technology – Open Systems Interconnection – Specification of Abstract Syntax Notation One (ASN.1)”.

Усі структури даних кодують за правилами DER згідно з ISO/IEC 8825-1:2002 “Information technology – ASN.1 Encoding Rules – Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)”.

Якщо в цьому документі існують розходження із документами, наведеними вище, використовуються положення цього документу.

Протокол взаємодії та формати даних, визначені у цих специфікаціях є рекомендованим для реалізації у надійних засобах ЕЦП та акредитованих центрах сертифікації ключів.

  1. Терміни та визначення

Використані у цих специфікаціях терміни мають такі значення:

служба інтерактивного визначення статусу сертифікату (OCSP-сервер) – спеціальна служба ЦСК, яка за запитами користувачів визначає статус сертифікатів та надсилає відповідь, де зазначається статус сертифіката, який перевіряється, на даний момент.

користувач – особа, що користується послугою інтерактивного визначення статусу сертифікату і взаємодіє з OCSP-сервер.

Інші терміни застосовуються у значеннях, наведених у Законі України “Про електронний цифровий підпис”, Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13.07.2004 р. № 903, Правил посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10.05.06 №50 та зареєстрованих в Міністерстві юстиції України 17.05.06 за №568/12442, та інших нормативно-правових актах з функціонування національної системи ЕЦП, криптографічного та технічного захисту інформації.

  1. Протокол взаємодії

Під час надання послуги інтерактивного визначення статусу сертифікату користувач взаємодіє з OCSP-сервером ЦСК згідно зі встановленим даними специфікаціями протоколом.

  1. Користувач формує запит на інтерактивну перевірку статусу сертифіката (далі запит) та посилає його до OCSP-сервера. Запит включає:

  • версію протоколу;

  • службовий запит;

  • ідентифікатор необхідного сертифікату;

  • необов’язкові розширення, які може обробляти OCSP-сервер.

  1. OCSP-сервер отримує запит і перевіряє, чи:

  • повідомлення правильно сформоване;

  • запит містить всю необхідну для обробки інформацію.

Якщо будь-яка з перерахованих умов не виконується, то OCSP-сервер формує повідомлення про помилку, інакше, він повертає відповідь на запит з інформацією про статус сертифікату(далі відповідь). Відповідь містить:

  • версію синтаксису відповіді;

  • ім’я OCSP-сервера;

  • відповідь для сертифіката в запиті;

  • необов’язкові розширення;

  • тип алгоритму підпису;

  • ЕЦП, що обчислений від геш-значення відповіді.

Відповідь для сертифікату в запиті складається з:

  • ідентифікатора необхідного сертифіката;

  • значення статусу сертифікату;

  • інтервалу часу дійсності відповіді;

  • необов’язкових розширень.

  • Після накладання ЕЦП відповідь направляється користувачеві.

  • Отримавши відповідь, користувач має перевірити, що:

    • сертифікат, вказаний в отриманій відповіді, відповідає вказаному в відповідному запиті;

    • ЕЦП відповіді дійсний;

    • ім’я суб’єкта, що підписав відповідь, співпадає з іменем OCSP-сервера, до якого був направлений запит.

    • OCSP-сервер має право підписувати відповідь.

    • значення часу, на який відомо, що статус був правильний, є достатньо близьким до поточного часу. Якщо доступний час, на який, або до якого, буде доступна нова інформація про статус сертифіката, то він повинен мати значення пізніше, ніж значення часу на даний момент.

  • Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]