• SCVP:полная проверка
сертификатов и цепочек
сертификатов
• DVCS:многофункциональный
протокол проверки
сертификатов
и подписанных документов
• TSP: служебный протокол
управления метками
времени
В функции протоколов валидации входит предоставление информации о валидности сертификата или цифрового документа для принятия решения о его последующем использовании.
Самыми первыми из протоколов валидации появились протоколы онлайновой проверки статуса сертификата OCSP и OCSP-X, поскольку механизм CRL не предоставлял требуемой актуальности информации о статусе сертификата для его использования в платежных системах и системах поддержки электронной коммерции.
Необходимость постоянного обращения к сервису OCSP по факту проверки очередного сертификата привела сначала к агрегации запросов на проверку, а впоследствии, и к полному аутсорсингу проверки цепочки сертификатов с использованием внешних средств валидации (SCVP).
Широкое применение технологии сертификатов для защиты систем электронного документооборота спровоцировало продолжение агрегации проверочных функций вплоть до принятия решения о валидности цифрового документа (DVCS). Одной из составляющих этого процесса проверки, позволяющей избежать отказа пользователя от факта подписи или знакомства с содержимым цифрового документа, является проверка существования документа на определенный момент времени. Эта проверка осуществляется с использованием специализированного протокола поддержки сервиса меток времени (TSP).
|
|
|
Протокол OCSP |
OCSP протокол представляет собой простой протокол типа "запрос-ответ", позволяющий получить информацию о текущем статусе сертификата в оперативном режиме.
OCSP-ответчик (OCSP-responder) представляет собой выделенный сервис, которому ЦС делегирует функции по предоставлению статусной информации по запросам клиентов. Процесс делегирования фиксируется путем выпуска сертификата со специальным дополнением OCSP_signing.
OCSP-ответчик может получать информацию двояким образом: с помощью CRL или напрямую из БД ЦС. Второй вариант является более предпочтительным с точки зрения актуальности, но может иметь объективные ограничения по применению из-за необходимости обеспечения высокого уровня безопасности при доступе к БД ЦС.
Формат запроса к сервису содержит информацию о запрашиваемом сертификате в виде его серийного номера и хэш-значений имени и ключа выдавшего ЦС. Возможными вариантами ответа сервиса могут быть: отозван, не отозван, состояние не определено. Одним из недостатков протокола является наличие неопределенного состояния, не позволяющее достоверно утверждать был ли вообще когда-либо издан запрошенный сертификат.
В качестве транспорта для передачи данных протокол OCSP, как правило, использует HTTP.
Протокол DVCS
DVCS-ССРВИС- многофункциональный сервис поддержки систем электронного документооборота.
DVCS обеспечивает проверку подлинности, целостности и авторства защищаемых документов, а также невозможность отказа от обязательств.
Типы сообщений DVCS:
1. квитанция обладания данными (на основе исходных данных),
2.
квитанция
мнения об обладании данными (на основе хэш-
значения)
3. квитанция проверки подписи под данными
4. квитанция валидации сертификата открытого ключа
Протокол DVCS представляет собой высокоуровневый агрегированный многофункциональный сервис поддержки систем электронного документооборота. DVCS обеспечивает проверку подлинности, целостности и авторства защищаемых документов, а также невозможность отказа от факта подписи или знакомства с содержимым электронного документа.
DVCS представляет собой распределенный сервис, работающий по клиент-серверной модели. Клиент обращается к серверу с запросом, сервер обрабатывает запрос и возвращает клиенту подписанный блок данных, выполняющий роль квитанции. Квитанции могут быть 4 видов:
•Квитанция обладания данными: формируется на основе оригинального текста документа,
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
