- •Московский государственный институт электронной техники (технический университет)
- •Протокол Secure Socket Layer
- •Сертификат.
- •Содержание сертификата.
- •Цепочки сертификатов
- •Корневой центр сертификации.
- •Протокол«рукопожатия»
- •Протокол записейSsl.
- •Протокол Secure Electronic Transaction
- •Процедуры генерации, обновления и отзыва сертификатов
- •Реализация транзакций в протоколе set
- •Характеристики протокола set
- •Приложение 1. Использование пакетаOpenSsLдля генерации сертификата.
- •Список литературы
Сертификат.
Предположим, что Алиса хочет послать сообщение в свой банк, для передачи некоторой суммы денег. Алиса хочет, чтобы данное сообщение было секретным, так как оно содержит такую информацию, как номер ее счета и размер передаваемой суммы. Алиса шифрует сообщение, а для возможности проверки целостности, ставит свою электронную подпись. Хотя Алиса может послать секретное сообщение банку, подписав его и будучи уверена в его целостности, она не может быть абсолютна уверена, что она взаимодействует с банком. Это означает, что ей нужно быть уверенной, что используемый ею открытый ключ соответствует секретному ключу банка. Аналогично, банк также должен проверить, что подпись сообщения действительно соответствует подписи Алисы.
Если каждая сторона имеет сертификат, который подтверждает идентификационные данные другой стороны и ее открытый ключ и подписан доверенным агентством, они оба могут быть уверены, что взаимодействуют с тем, с кем думают. Такие доверенные агентства называются сертификационными центрами (Certificate Authority, CA), а сертификаты используются для аутентификацию взаимодействующих сторон.
Содержание сертификата.
Сертификат связывает открытый ключ с реальным объектом – человеком, сервером или другой сущностью, называемым субъектом. Как отображено в таблице, информация о субъекте содержит идентификационную информацию (известное имя, thedistinguishedname) и открытый ключ. Он также содержит идентификационные сведения и подпись сертификационного центра, выпустившего сертификат, и период времени, в течении которого он действителен. Он может иметь дополнительную информацию (расширения), например, административную информацию сертификационного центра, такую как серийный номер.
|
Субъект |
Известное имя, открытый ключ |
|
Изготовитель |
Известное имя, подпись |
|
Срок действия |
Дата начала, дата окончания |
|
Административная информация |
Версия, серийный номер |
|
Дополнительная информация |
Основные ограничения, флаги и т.п. |
Дифференцируемое имя используется для идентификации в конкретном контексте – например, человек может иметь как личный сертификат, так и сертификат, идентифицирующий его как служащего. Известное имя определяется стандартом X.509 [X509], который определяет поля, название полей и сокращения, используемые для ссылки га поля, которые приведены в следующей таблице.
|
Поле |
Сокр. |
Описание |
Пример |
|
Общее имя, common name |
CN |
Сертифицируемое имя. |
CN=JoeAverage |
|
Организация, organization |
O |
Название организации. |
O=Snake Oil, Ltd. |
|
Организационное подразделение, organizational unit |
OU |
Организационные подразделение, например, название отдела. |
OU=Research Institute |
|
Город, City/Locality |
L |
Город, месторасположение |
L=Snake City |
|
Область, State/Province |
ST |
Область, штат, провинция. |
ST=Desert |
|
Страна, Country |
C |
ISOкод страны. |
C=XZ |
Сертификационный центр может определять политику, задающую какие поля имени не обязательны, а какие являются необходимыми. Он также может определять требования по содержанию полей.
Двоичный формат сертификата определяется использованием нотации ASN.1. Эта нотация определяет, как задавать содержание, а правила кодирования определяют, как эта информация преобразуется в двоичный вид. Двоичное представление сертификата определено в соответствии с дифференцированными правилами кодирования (DistinguishedEncodingRules,DER), которые основаны на основных правилах кодирования (BasicEncodingRules,BER). Для передачи по каналам, которые не могут обрабатывать двоичные данные, бинарное представление может быть преобразовано вASCII-вид путемBase64-кодирования. Такая версия называетсяPEM-кодом (сокращение отPrivacyEnhancedMail– почта с улучшенной секретностью).