Ольга Полянская - Инфраструктуры открытых ключей
|X.500 | Каталог: обзор концепций, моделей и услуг |
|X.509 | Каталог: структура аутентификации |
|X.509a | Проект изменений и дополнений для продления срока действия сертификатов (расширение версии 3) |
|X.208 (ISO/IEC 8825)
Abstract Syntax Notation (ASN.1)
| Абстрактная синтаксическая нотация |
|X.209 | Основные правила кодирования для ASN.1 |
|ISO/IEC 8824
Object Identifiers (OIDs)
| Идентификаторы объектов |
|ISO/IEC 9594/8
Directory Services (X.509)
| Сервисы каталога (X.509) |
Таблица 15.1.I группа стандартов
Стандарты второй группы (см. табл. 15.2) разработаны основным центром по выпуску согласованных стандартов в области PKI - рабочей группой организации IETF, известной как группа PKIX (от сокращения PKI for X.509 certificates) [10]. Документы PKIX определяют политику применения сертификатов и структуру регламента УЦ, форматы, алгоритмы и идентификаторы сертификата и САС X.509, схему поддержки PKIX в среде LDAP v2, форматы атрибутных сертификатов и сертификатов ограниченного пользования, описывают протоколы статуса сертификатов, запроса на сертификацию, проставления метки времени, эксплуатационные протоколы PKI.
Третью группу образуют стандарты криптографии с открытыми ключами PKCS (Public Key Cryptography Standards), разработанные компанией RSA Security Inc. [102] совместно с неофициальным консорциумом, в состав которого входили компании Apple, Microsoft, DEC, Lotus, Sun и MIT. Документы PKCS признаны симпозиумом разработчиков стандартов взаимодействия открытых систем методом реализации стандартов OSI (Open System Interconnection). Стандарты PKCS (см. табл. 15.3) обеспечивают поддержку криптографических процессов при выполнении защищенного шифрованием информационного обмена между субъектами. Стандарты PKCS ориентированы на двоичные и ASCII-данные и совместимы со стандартом ITU-T X.509. В PKCS входят алгоритмически зависимые и независимые реализации стандартов [217]. Многие из них опираются на систему шифрования с открытыми ключами RSA, названную по инициалам авторов Ривеста, Шамира и Адльмана, метод эллиптических кривых и метод согласования ключей Диффи-Хэллмана, подробно описанные в трех соответствующих криптографических стандартах.
|Номер и название стандарта | Содержание стандарта |
|
RFC 2510
Certificate Management Protocols (CMP)
| Инфраструктура открытых ключей Интернет X.509: протоколы управления сертификатами |
|
RFC 2511
Certificate Request Protocol
| Протокол запроса на сертификат |
|
RFC 2527
Certificate Policy and Certification
Practices Framework
| Политика применения сертификатов и структура регламента |
|
RFC 2559
LDAP V2 Operational Protocols
| Эксплуатационные протоколы инфраструктуры открытых ключей |
|
RFC 2560
Online Certificate Status Protocol (OCSP)
| Онлайновый протокол статуса сертификата |
|
RFC 2585
HTTP/FTP Operations
| Применение протоколов HTTP/FTP для получения сертификатов и САС и репозитория PKI |
|
RFC 2587
LDAP V2 Schema
| Схема поддержки PKIX в среде LDAP v2 |
|
RFC 2797
Certificate Management Messages over
CMS (CMC)
| Протокол управления сертификатами на базе сообщений управления сертификатами |
|
RFC 2875
Diffie-Hellman Proof-of-Possession
(POP) Algorithms
| Алгоритмы Диффи-Хэлмана доказывания владения |
|
RFC 3029
Data Validation and Certification
Server Protocols
| Протоколы сервера сертификации и проверки достоверности данных |
|
RFC 3039
Qualified Certificates Profile
| Формат сертификата ограниченного пользования |
|
RFC 3161
Time-Stamp Protocol (TSP)
| Протокол меток времени |
|
RFC 3279 (бывший RFC 2528)
Algorithms and Identifiers for the
Internet X.509 Public Key
Infrastructure Certificate and
Certificate Revocation List (CRL) Profile
| Алгоритмы и идентификаторы для профилей сертификатов и САС PKIX |
|
RFC 3280 (бывший RFC 2459)
Certificate & CRL Profile
| Форматы сертификата и списка аннулированных сертификатов X.509 |
|
RFC 3281
An Internet Attribute Certificate
Profile for Authorization
| Формат атрибутного сертификата для авторизации |
Таблица 15.2.II группа стандартов
|Номер и название стандарта | Содержание стандарта |
|
PKCS#1
RSA Cryptography
| Механизмы шифрования и подписания данных методом RSA.
Примечание:Стандарты PKCS #2 and PKCS #4 были объединены в PKCS #1
|
|
PKCS #3
Diffie-Hellman Key Agreement
| Согласование ключей методом Диффи-Хеллмана |
|
PKCS #5
Password-Based Cryptography
| Шифрование секретным ключом, созданным на основе пароля |
|
PKCS #6
Extended-Certificate Syntax
| Синтаксис расширенного сертификата |
|
PKCS#7
Cryptographic Message Syntax
| Синтаксис криптографических сообщений |
|
PKCS #8
Private-Key Information Syntax
| Синтаксис данных секретного ключа |
|
PKCS #9
Selected Attribute Types
| Особые типы атрибутов для использования в других PKCS-стандартах |
|
PKCS#10 (RFC2314)
Certification Request Syntax
| Стандарт синтаксиса запроса на сертификацию |
|
PKCS#11
Cryptographic Token Interface (Cryptoki)
| Прикладной программный интерфейс Cryptoki для криптографических устройств типа смарт-карт и карт PCMCIA |
|
PKCS #12
Personal Information Exchange Syntax
| Синтаксис обмена персональными данными пользователя (секретными ключами, различными тайнами и т.п.) |
|
PKCS #13
Elliptic Curve Cryptography
| Механизмы шифрования и подписания данных методом эллиптических кривых |
|
PKCS #15
Cryptographic Token Information Format
| Формат данных, хранящихся на криптографических токенах (является дополнением к PKCS #11) |
Таблица 15.3.III группа стандартов
Кроме того, стандарты PKCS определяют алгоритмически независимый синтаксис криптографических сообщений, данных секретного ключа, запросов на сертификацию, расширенных сертификатов, обмена персональными данными пользователя, что позволяет реализовать любой криптографический алгоритм в соответствии со стандартным синтаксисом и обеспечить взаимодействие самых разных приложений. Большинство стандартов, использующих криптографию, разработано с учетом применения PKI.
В четвертую группу объединены дополнительные связанные с PKI стандарты LDAP, S/MIME, S/HTTP, TLS, IPsec, DNS и SET (см. табл. 15.4). Стандарты LDAP описывают упрощенный протокол доступа, позволяющий вводить, удалять, изменять и извлекать информацию, которая содержится в каталогах X.500. В настоящее время LDAP является стандартным методом доступа к информации сетевых каталогов и играет важную роль во множестве продуктов, таких как системы аутентификации, PKI, приложения электронной почты и электронной коммерции.
Стандарты S/MIME (Secure/Multipurpose Internet Mail Extensions) предназначены для обеспечения защищенного обмена сообщениями в Интернете. Протокол защищенной электронной почты S/MIME базируется на технологии шифрования и цифровой подписи, разработанной компанией RSA Security Inc., и используется для предупреждения возможного перехвата или подделки почтовых сообщений [209]. Семейство стандартов S/MIME описывает синтаксис криптографических сообщений, управление сертификатами в среде S/MIME, процедуры и атрибуты дополнительных сервисов безопасности для почтовых приложений, к которым относятся заверенные цифровой подписью уведомления о приеме сообщений, метки безопасности и защищенные списки рассылки электронной почты.
К стандартам S/HTTP и TLS относятся документы, определяющие защищенный протокол передачи гипертекста HTTP и его расширения, протокол безопасности транспортного уровня TLS, его модификацию и использование в среде HTTP. TLS - открытый стандарт, разработанный на базе протокола защищенного обмена информацией между клиентом и сервером SSL (Secure Sockets Layer) в качестве его замены для защиты коммуникаций в Интернете. Протокол TLS обеспечивает конфиденциальность и целостность данных при коммуникации двух приложений и позволяет приложениям "клиент-сервер" взаимодействовать защищенным способом, предотвращающим перехват информации и подделку сообщений. Для взаимной аутентификации перед началом информационного взаимодействия приложениями используется технология PKI.
|Номер и название стандарта | Содержание стандарта |
|LDAP |
RFC 1777: Lightweight Directory Access
