Ольга Полянская - Инфраструктуры открытых ключей

Поле Next Update отображает дату выпуска следующего САС. Здесь также поддерживаются два формата времени. Следующий САС необходимо выпустить не позднее указанной даты. Издатель САС должен включать это поле в состав содержания САС, хотя формально оно не является обязательным.

Поле Revoked Certificates содержит перечень аннулированных сертификатов. Эта структура необязательна, но может отсутствовать только тогда, когда отсутствуют аннулированные сертификаты, срок действия которых не истек. В поле указываются:

* серийные номера аннулированных сертификатов user Certificate ;

* их даты аннулирования Revocation Date (в одном из двух форматов времени);

* необязательные дополнения точек входа в САС CRL Entry Extensions.

Каждый аннулированный сертификат является отдельным входом в САС. Сертификаты уникально идентифицируются комбинацией имени и серийного номера. Чаще всего издатель сертификата и издатель САС - это один и тот же УЦ, поэтому имя издателя указывается один раз и применяется ко всему списку серийных номеров. Если издатель САС и издатель сертификата - разные лица, то имя издателя указывается в паре с серийным номером каждого сертификата.

Поле CRL Extensions используется для включения дополнительной информации, характеризующей САС в целом.

Дополнения САС

Стандарт X.509 версии 1997 года [77] ввел в САС несколько дополнений - CRL Extensions. Каждое дополнение САС может быть помечено как критичное или некритичное. Валидация САС становится невозможной, если обнаруживается нераспознанное критичное дополнение. Однако такое дополнение может быть проигнорировано. Формат САС X.509 v2 допускает задание частных дополнений, позволяющих указывать специфическую для данного PKI-сообщества информацию. Версия 2000 года стандарта X.509 ввела важные изменения в формат САС по сравнению с версией 1997 года [78]. Стандартные дополнения САС приведены в табл. 8.2.

|Поле | Содержание |

|

authorityKeyIdentifier

.

keyIdentifier

.

authorityCertIssuer

.

authorityCertSerialNumber

|

Идентификатор открытого ключа

издателя САС

значение дополнения Subject Key Identifier

из сертификата издателя САС

основное или альтернативное имя

издателя САС

серийный номер сертификата издателя САС

|

|issuerAlternativeName | Альтернативные имена издателя САС |

|cRLNumber | Последовательность номеров всех списков САС, выпущенных данным издателем |

|cRLScope | Тип САС по признаку разбиения или области охвата |

|statusReferrals | Используется для динамического разбиения списков САС |

|cRLStreamIdentifier | Используется для идентификации контекста, внутри которого номер САС является уникальным |

|orderedList | Характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования |

|deltaInformation | Информация о местонахождении дельта-списка САС и времени выпуска следующего дельта-списка |

|

issuingDistributionPoi

.

distributionPoint

onlyContainsUserCerts

.

onlyContainsCACerts

onlySomeResons

.

indirectCRL

|

Атрибуты выпускающего пункта

распространения САС

названия пунктов распространения САС

тип сертификатов (только сертификаты

конечных пользователей)

тип сертификатов (только сертификаты УЦ)

информация об аннулировании

сертификатов по заданным причинам

информация о косвенном САС

|

|deltaCRLIndicator | Индикатор САС как дельта-списка |

|baseUpdate | Дата/время обновления информации об аннулировании при помощи дельта-списка САС |

|freshest CRL | Указатель на самый последний, "свежий" дельта-список САС |

Таблица 8.2.Дополнения списка аннулированных сертификатов X.509 v2

Дополнение Authority Key Identifier (идентификатор ключа издателя САС ) идентифицирует открытый ключ, необходимый для валидации цифровой подписи, которой заверен САС. Идентификация может базироваться либо на идентификаторе ключа (из дополнения Subject Key Identifier сертификата издателя САС ), либо на имени издателя САС и серийном номере его сертификата. В этом дополнении используются следующие поля:

* необязательное поле key Identifier, которое содержит значение дополнения Subject Key Identifier из сертификата издателя САС ; его рекомендуется включать;

* необязательное поле authority Cert Issuer, в котором указывается основное или альтернативное имя издателя САС ; в нем могут указываться несколько имен. Если это поле присутствует, то должно быть заполнено и следующее поле authority Cert Serial Number ;

* необязательное поле authority Cert Serial Number, которое задает серийный номер сертификата издателя САС. Если это поле присутствует, то должно быть заполнено и предыдущее поле authority Cert Issuer.

Дополнение Authority Key Identifier помогает пользователям выбрать правильный открытый ключ для верификации подписи на данном САС в том случае, когда издатель САС имеет несколько ключей подписи и соответственно несколько сертификатов. При смене ключа подписи издателя САС происходит некоторое перекрытие периодов действия двух ключей, в этот интервал времени валидными считаются оба сертификата с одним и тем же именем издателя и разными открытыми ключами подписи. В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное, его использование регламентируется документом RFC 3280 [167].

Дополнение Issuer Alternative Name позволяет указывать альтернативные имена издателя САС: адрес электронной почты, DNS-имя (имя Интернет-хоста), IP-адрес и унифицированный идентификатор ресурса URI (обычно уникальный адрес ресурса WWW URL). Включение этих имен не обязательно. Формально это дополнение может быть как критичным, так и некритичным. Но поскольку документ RFC 3280 требует, чтобы поле с именем издателя САС не было пустым, необходимо, чтобы это дополнение было помечено как некритичное.

Дополнение CRL Number выполняет функцию счетчика и содержит упорядоченную по возрастанию последовательность номеров всех списков САС, выпущенных данным издателем. Дополнение позволяет пользователям определять, когда происходит смена одного списка данного издателя другим, более свежим САС. В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное. Документ RFC 3280 требует от издателей включения этого дополнения во все списки САС.

Дополнение CRL Scope формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает гибкость классификации информации списков САС по разным признакам. Списки САС могут быть разбиты на множества различными способами: по типам сертификатов, кодам причин аннулирования, серийным номерам, идентификаторам ключей субъектов и поддеревьям имен. Это дополнение всегда помечается как критичное.

Дополнение Status Referrals формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает две основные функции: во-первых, дает возможность динамически разбивать информацию об аннулировании (поскольку включает в свой синтаксис дополнение CRL Scope ); во-вторых, позволяет удостоверяющим центрам публиковать перечень текущих списков САС. Перечень помогает доверяющей стороне анализировать, владеет ли она последней информацией об аннулировании, и избегать лишней (без необходимости) пересылки списков САС. В этом дополнении также может публиковаться информация нового САС, прежде чем произойдет обновление более старого, но не просроченного списка. Это дополнение всегда помечается как критичное.

Дополнение CRL Stream Identifier формально стандартизовано версией 2000 года рекомендаций X.509 и используется для идентификации контекста, внутри которого номер САС является уникальным. Если каждому пункту распространения САС присваивается уникальный идентификатор, то его комбинация с номером САС позволяет, независимо от типа списка, уникально идентифицировать каждый САС, выпущенный данным УЦ. Это дополнение всегда помечается как некритичное.