18.3 Основні функції управління сертифікатами
1). Реєстрація (початкова реєстрація, ідентифікація та реєстрація кінцевого користувача в системі).
2). Сертифікація відкритих ключів (процес формування сертифікатів відкритих ключів для кінцевих користувачів фізичних та юридичних осіб, центрів сертифікації ключів, тощо) та подальше опублікування їх в базі сертифікатів для забезпечення доступу до них користувачів.
3). Скасування сертифікатів (процес блокування або скасування дії сертифікату при умові виникнення певних обставин; порядок та певні обставини, за якими здійснюється скасування або блокування сертифікату, визначаються спеціальним документом системи - політикою безпеки ІВК).
Наприклад, обставинами скасування (анулювання, відкликання) або тимчасового блокування сертифікату є компрометація секретного ключа (або ймовірність виникнення такої події), відмова кінцевого користувача від послуг ЦС та інші обставини.
4).Розповсюдження сертифікатів (архів сертифікатів). Система розповсюдження сертифікатів – механізм, що здійснює збереження та доставку сертифікатів кінцевих користувачів іншим учасникам електронного обміну даними. Така система використовує сховище сертифікатів та списків скасованих сертифікатів, для чого застосовує спрощений протокол доступу до каталогів ( LDAP - Lightweight Directory Access Protocol), або протокол визначення статусу сертифікату (Online Certificate Status Protocol). Технологію LDAP підтримує більшість серверних операційних систем і баз даних.
До додаткових функцій, що виконує ІВК, можуть входити: взаємна сертифікація (крос-сертифікація), перевірка сертифікату (зазвичай це робить користувач), архівація сертифікатів, підтримка неможливості відмови від ЦП, керування життєвим ціклом сертифікатів, «часові штампи», тощо.
18.4. Структура сертифікату відкритого ключа х.509 та списку crl
Таблиця 18.1 Сертифікат відкритого ключа Х.509 версії 3
|
Cертифікат відкритого ключа |
|
Версія (1,2,3) |
|
Серійний номер сертифікату |
|
Ідентифікатор алгоритму ЦП |
|
Ім’я емітента |
|
Термін дії (не раніше / не пізніше) |
|
Ім’я суб’єкта (власника відповідного секретного ключа) |
|
Відкритий ключ та дані про алгоритм, з яким він застосовується |
|
Унікальний ідентифікатор емітента (v.2,3) |
|
Унікальний ідентифікатор суб’єкта (v.2,3) |
|
Розширення (доповнення) (v.3) |
|
ЦП емітента (попередніх полів) |
Доповнення (розширення) сертифікату X.509 версії 3 являє собою структуру, що містить:
- ідентифікатор доповнення;
- ознаку "критичне/не критичне" доповнення;
- значення доповнення, що представляється в бінарному вигляді.
Всі доповнення можливо розділити на дві категорії: обмежуючи та інформаційні. Обмежуючи доповнення обмежують сферу застосування ключа, що визначений сертифікатом, або обмежують сферу застосування самого сертифікату. Інформаційні доповнення містять додаткову інформацію, яка може використовуватися в системі.
До обмежуючих доповнень, наприклад, відносяться:
- сфера використання ключа;
- обмеження імен.
До інформаційних обмежень, наприклад, відносяться:
- ідентифікатори ключів;
- точка розповсюдження списків відкликаних сертифікатів (адреса сервера, тощо).
Разом з цим, стандарт X.509 дозволяє визначити інші доповнення, необхідність яких визначається при використанні в конкретній системі.
Навіть якщо строк дії сертифікату не вийшов, він може бути розглянутий як недійсний або непридатний, наприклад він може бути більш не потрібний володарю, таємний ключ може бути скомпрометований, тощо.
Процедура блокування або скасування сертифікату призводить до внесення сертифікату до ССС - списку скасованих сертифікатів (Certificate Revocation List - CRL). Основним форматом ССС на даний час визнано так званий формат ССС Х.509 версії 2.
Список скасованих сертифікатів випускається (тобто є дійсним) на певний період. Він створюється у каталозі і містить перелік серійних номерів анульованих сертифікатів, підписаний ЦП центру сертифікації, що його сформував. Користувач може звертатися до каталогу задля отримання кодів причин скасування.
Передбачено також метод онлайнової верифікації статусу сертифікату, наприклад, сервер ЦС, відомий як OCSP-респондер (відповідач), у режимі реального часу обробляє звернення прикладних об’єктів та надсилає дані щодо статусу сертифікатів, завірені цифровим підписом.
Таблиця 18.2 Список скасованих сертифікатів Х.509 версії 2
|
Список скасованих сертифікатів |
|
Ідентифікатор, алгоритм, параметри ЦП емітента |
|
Ім’я емітента сертифіката |
|
Дата випуску поточного оновленя ССС |
|
Дата випуску наступного оновленя ССС |
|
Додаткові атрибути (номер поточного ССС, тощо) |
|
Номер скасованого сертифікату, дата скасування та додаткова інформація щодо причин скасування |
|
…………… |
|
…………… |
|
Цифровий підпис емітента. |
Несвоєчасність призупинення дії сертифіката підвищує ризики фальсифікації підпису, транзакцій, або порущення конфіденційності.
Якщо користувач сам несе відповідальність за безпеку засобів генерації параметрів цифрового підпису, то існує потенційний ризик їх компрометації і несанкціонованого використання сертифікатів. У відповідних випадках центр сертифікації відкликає сертифікати, тобто тимасово припиняє дію сертифікатів, або скасовує їх. Аналогічно, відкликати сертифікати необхідно за бажанням власника, по закінченні строку дії сертифікату, тощо.
При несвоєчасному моніторингу може виконуватися автентифікація повідомлень чи транзакцій, завірених ключами підпису прострочених сертифікатів.
Невдало розроблені політики і процедури ІВК щодо моніторингу статусу сертифікатів та керування списком скасованих сертифікатів є джерелом стратегічного ризику, а неправильно реалізовані - піддають центр сертифікації операційному ризику і ризику втрати ділової репутації.
Таким чином, можна зробити висновок, що нереально сподіватися на реалізацію універсального мкханізму забезпечення користувачів ІВК.
Звідси випливає, що більш перспективним підходом є розподіл користувачів на категорії і створення механізму обмежень, що визначають ту, чи іншу категорію та відображаються у сертифікатах.