Протоколы PKI. Операционные протоколы. Протоколы управления. Протокол меток времени. Атрибутные сертификаты, страница 4

Протокол PKCS#10+PKCS#7 представляет собой простой протокол управления, использующий стандарт PKCS#7 для защиты передаваемых сообщений.

Привлекательными особенностями данного протокола является возможность использования существующих программных библиотек, реализующих CMS-сервис, и отсутствие проблем с архивированием информации транзакций, поскольку каждое сообщение транзакции снабжается собственными средствами контроля целостности и подлинности.

Доказательство обладания секретным ключом для ключей подписи в рамках данного протокола осуществляется с использованием стандарта PKCS#10. Данный стандарт представляет собой описание синтаксиса запроса на выпуск сертификата. Информация запроса подписывается с использованием секретного ключа, соответствующего отрытому, представленному на сертификацию. ЦС переда началом обработки запроса проверяет подпись с использованием содержащегося в нем открытого ключа. Таким образом достигаются две цели - проверяется целостность содержимого запроса и доказывается факт наличия секретного ключа у сформировавшего его лица.

Подписи под запросом, сформированным с помощью PKCS#10 недостаточно для его аутентификации. Для этой цели используется инкапсуляция данных запроса в сообщение в формате PKCS#7signed.

Протокол СМР представляет собой многофункциональный специализированный протокол управления, поддерживающий 24 типа различных управляющих сообщений. Благодаря этому протокол в состоянии поддерживать функционирование произвольной PKI, построенной на любой модели доверия и реализовать практически любой желаемый уровень сервиса.

Протокол разрабатывался специально для целей реализации управляющих функций PKI, с максимальным учетом специфики решаемых задач. Универсальный формат сообщения СМР включает весь необходимый сервис по обеспечению безопасности транзакций, включая время отправки, идентификатор транзакции и неповторяющиеся блоки данных (пгЬ,случайное число) получателя и отправителя для предотвращения атак повтора. Если сообщение защищается с использованием ЭЦП, в его конец добавляются сертификаты.

Данный протокол обладает средствами реализации доказательства обладания секретным ключом для всех типов ключей: ключей подписи и шифрования, а также ключей, используемых в процедуре обмена ключами. Однако, сложность данного протокола существенно ограничивает его применение преимущественно узкоспециализированными системами.

В качестве стандарта на структуру запроса на выпуск сертификата в СМР используется CRMF - усовершенствованный вариант PKCS#10.

Под транзакцией в PKI понимают процедуру обмена, приводящую к изменению состояния PKI-системы. СМР поддерживает 7 различных типов транзакций: начальная регистрация и сертификация, базовый выпуск сертификата, выпуск сертификата ЦС, выпуск кросс-сертификата, отзыв сертификата, восстановление ключа, доказательство обладания секретным ключом.

Рассмотрим более подробно транзакцию начальной регистрации и

сертификации. В данную транзакцию вовлечены 3 стороны: субъект -будущий владелец сертификата, ЦС и ЦР. Состоит транзакция из следующих основных этапов:

1.  Регистрация: на данном этапе пользователь регистрируется в системе и
получает уникальный идентификатор,

2.  Передача аутентификатора пользователю: ЦР формирует случайный
аутентификатор (например, одноразовый пароль) и передает его
пользователю для аутентификации в ЦС

3.  Передача аутентификатора в ЦС: тот же самый аутентификатор ЦР
предоставляет в ЦС для проверки

4.  Запрос сертификата: пользователь запрашивает сертификат в ЦС, запрос
аутентифицируется с использованием аутентификатора,

5.  Выпуск сертификата: ЦС проверяет аутентификатор пользователя и на
основании аутентифицированного запроса выпускает сертификат