Центр сертифікації ключів з розробкою станції генерації ключів, страница 14

■  Ідентифікатор ключа суб'єкта. Ідентифікує відкритий ключ, що вимагає сертифікації, що корисно при відновленні пар ключів суб'єкта. Суб'єкт може мати декілька пар ключів і, відповідно, кілька різних  сертифікатів  для   різних  цілей  (наприклад,   для  цифрових підписів і шифрування).

■  Використання ключів. Вказують обмеження і політики, при яких може використовуватися даний сертифікований відкритий ключ. Може бути зазначене наступне: цифровий підпис, неможливість відмовлення від авторства, шифрування ключів, шифрування даних, угоди про ключі, верифікація підпису центра сертифікації в сертифікатах, верифікація підпису центра сертифікації в списках відкликаних сертифікатів.

■  Термін використання особистого ключа. Указує термін, протягом якого повинний використовуватися особистий ключ, що відповідає даному відкритому ключеві. Звичайно для особистого ключа термін його дії відрізняється від терміну дії відкритого ключа. Наприклад, для ключів цифрових підписів час застосування особистого ключа для підпису звичайно менше часу дії відкритого ключа для перевірки підпису.

■  Політики сертифікації. Сертифікати можуть використовуватися в середовищах, де мається   можливість   застосування   різних   політик   сертифікації. Дане розширення пропонує список політик, розпізнаваних сертифікатом, а також додаткову уточнюючу інформацію.

■  Відображення політик. Використовується тільки в сертифікатах центрів сертифікації, виданих іншим центрам сертифікації. Відображення політик дозволяє центрові сертифікації з'ясувати, що одна або декілька таких політик вважаються еквівалентними іншій політиці, що використовується  в домені центра сертифікації, що є суб'єктом сертифікації.

Суб'єкт сертифікації й атрибути центра сертифікації

Ці розширення підтримують альтернативні імена в альтернативних форматах для вказівки суб'єкта сертифікації і центра видачі сертифікатів і можуть містити додаткову інформацію про суб'єкта сертифікації, забезпечуючи велику впевненість користувача сертифіката в тім, що суб'єкт сертифікації є зазначеною особою або об'єктом. Наприклад, мова може йти про поштову адресу, займану посаду в корпорації або фотографічному зображенні.

Поля розширення в цій області включають наступне.

■  Альтернативне ім'я суб'єкта. Містить одне або кілька альтернативних імен у кожній з безлічі припустимих форм. Це поле виявляється важливим для деяких додатків, наприклад електронної пошти, електронного обміну даними і IPSec, що можуть підтримувати свої власні формати імен.

■  Альтернативне ім'я центра сертифікації. Містить одне або кілька альтернативних імен у кожній з безлічі припустимих форм.

■  Атрибути каталогу суб'єкта. Містить значення будь-яких необхідних атрибутів каталогу Х.500 для суб'єкта даного сертифіката.

Обмеження маршруту сертифікації

Ці розширення дозволяють вказати в сертифікатах, видаваних центрами сертифікації іншим центрам сертифікації, цілий ряд специфікацій. Можна вказати обмеження на типи сертифікатів, що можуть видаватися центрові-суб'єктові, або на те, що допускається далі в ланцюжку сертифікатів.

Поля розширення в цій області включають наступне.

■  Основні обмеження. Вказують, чи може суб'єкт виступати як центр сертифікації. Якщо так, то можуть бути задані обмеження на довжину маршруту сертифікації.

■  Обмеження  імен.  Указують  простір  імен,   у  рамках  якого повинні бути усі імена суб'єктів у наступних сертифікатах маршруту сертифікації.

■  Обмеження політик. Задають обмеження, що може вимагати явно  зазначена  політика  ідентифікації  сертифікатів  або  блокувати відображення політик для частини маршруту сертифікації, що залишилася.

4 ІНФРАСТРУКТУРА УПРАВЛІННЯ КЛЮЧАМИ США

США були однією з перших країн, яка почала широке використання систем ІВК на рівні федеральних агенцій та відомств, великих корпорацій тощо. Ще у 1994 році корпорація MITRE за замовленням NIST провела дослідження експлуатації різних систем ІВК з метою визначення підходів побудови федеральної ІВК.