Версія 3 стандарти Х.509
Формат Х.509 версії 2, як показала практика розробки і реалізації стандарту останніх років, не дає вичерпних рекомендацій у всіх необхідних випадках. У [FORD95] представлений наступний список вимог, які не задовольняє версія 2.
1. Формат поля суб'єкта не цілком підходить для того, щоб аутентифікувати власника ключа для користувача відкритого ключа. Імена Х.509 можуть відносно бути короткими і не утримуючих деяких деталей ідентифікації, що, мабуть, можуть знадобитися користувачеві.
2. Формат поля суб'єкта також не цілком підходить для багатьох додатків, що звичайно розпізнають об'єкти за адресою електронної пошти, URL або деякому іншому пов'язаному з Internet ідентифікатором.
Існує необхідність вказати інформацію про політику захисту. Це дозволить додатку захисту або функції захисту, наприклад IPSec, прив'язати сертифікат Х.509 до заст. Версія 3 стандарти Х.509
Формат Х.509 версії 2, як показала практика розробки і реалізації стандарту останніх років, не дає вичерпних рекомендацій у всіх необхідних випадках. У [FORD95] представлений наступний список вимог, які не задовольняє версія 2.
3. Формат поля суб'єкта не цілком підходить для того, щоб аутентифікувати власника ключа для користувача відкритого ключа. Імена Х.509 можуть відносно бути короткими і не утримуючих деяких деталей ідентифікації, що, мабуть, можуть знадобитися користувачеві.
4. Формат поля суб'єкта також не цілком підходить для багатьох додатків, що звичайно розпізнають об'єкти за адресою електронної пошти, URL або деякому іншому пов'язаному з Internet ідентифікатором.
5. Існує необхідність вказати інформацію про політику захисту. Це дозволить додатку захисту або функції захисту, наприклад IPSec, прив'язати сертифікат Х.509 до застосовуваної політики.
6. Мається необхідність обмежити збиток, що може бути нанесений через помилкові або зловмисні дії центра сертифікації, шляхом установки обмежень на область застосовності конкретного сертифіката.
7. Важливо мати можливість розпізнавати різні ключі, застосовувані тим самим власником у різний час. Ця можливість припускає керування життєвим циклом ключів і, зокрема, можливість змінювати пари ключів для користувачів і центрів сертифікації на регулярній основі або при особливих обставинах.
Розроблювачі стандарту порахували, що в даному випадку потрібно не просте додавання полів до наявного формату, а більш гнучкий підхід. Так, формат версії 3 включає ряд необов'язкових розширень, що можуть бути додані до формату версії 2. Кожне розширення складається з ідентифікатора розширення, індикатора критичності і значення розширення. Індикатор критичності показує, чи може розширення бути безпечно ігноровано. Якщо цей індикатор має значення TRUE і реалізація формату не розпізнає розширення, дана реалізація повинна вважати такий сертифікат недійсним.
Розширення сертифіката можна розділити на три головні категорії: інформація про ключі і політиках, атрибути суб'єкта й органа сертифікації, а також обмеження маршруту сертифікації.
Розширення сертифіката можна розділити на три головні категорії: інформація про ключі і політиках, атрибути суб'єкта й органа сертифікації, а також обмеження маршруту сертифікації.
Інформація про ключі і політиках
Ці розширення містять додаткову інформацію про ключі суб'єкта й органа сертифікації, а також індикатори політики сертифікації. Політика сертифікації являє собою іменовану безліч правил, що визначають застосовність сертифіката в конкретних середовищах і/або класах додатків із загальними вимогами захисту. Наприклад, політика може бути призначена для аутентифікації електронного обміну даними (EDI — Electronic Data Interchange) при торгівлі з заданим діапазоном цін товарів.
Ця область включає наступне.
■ Ідентифікатор ключа уповноваженого органа. Ідентифікує відкритий ключ, використовуваний для перевірки підпису на даному сертифікаті або списку відкликаних сертифікатів. Дозволяє розрізняти різні ключі одного центра сертифікації. Це поле використовується при відновленні пари ключів центра сертифікації.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.