• Категории
  • Подписка
  • Разместить статью
07/01/10 0 4868 Управление открытыми ключами     
-

Проверка подлинности сертификата

cert_securos.org.uaРассмотрим два способа организации проверки действительности сертификатов их пользователями. Первый условно можно обозначить как проверку в режиме онлайн, второй – как проверку в режиме офлайн. При проверке в режиме онлайн пользователь перед каждым использованием открытого ключа просто обращается с соответствующим запросом к специальному серверу и принимает то решение, которое поступит от этого сервера. При проверке в режиме офлайн решение о действительности сертификата пользователь принимает самостоятельно. Преимуществом режима онлайн является большее удобство для пользователей (в смысле простоты), недостатком – во-первых, невозможность для пользователей во многих случаях воспользоваться этим режимом (поэтому вместе с режимом онлайн в ИУОК, поддерживается и режим офлайн), во-вторых, возможны задержки в получении ответа вследствие низкой пропускной способности или перенагрузки каналов связи, в-третьих, отстраненность пользователей от принятия решений.

Рассмотрим порядок проверки действительности сертификатов в режиме офлайн. Проверка предусматривает выполнение следующих действий:

  • проверка срока действия сертификата;
  • сверка со списком отозванных сертификатов (СОС) (certificate revocation list (CRL));
  • принятие решения о доверии к издателю;
  • авторизация издателя (признание его полномочий выдать данный сертификат);
  • получение и аутентификация открытого ключа издателя (вынесем в отдельную статью);
  • верификация цифровой подписи издателя.

Порядок выполнения этих действий не является существенным (хотя верификация цифровой подписи (и авторизация полномочий) издателя возможна только после получения (и аутентификации) его открытого ключа).

Проверка срока действия сертификата является простейшей (сведения о сроке действия практически всегда включаются в содержание сертификатов), поэтому она может выполняться, как правило, в первую очередь.

Принятие решения о доверии к издателю, а также получение и аутентификация его открытого ключа могут быть выполнены однократно — для всех выданных этим издателем сертификатов. Авторизация издателя и верификация его цифровой подписи должны выполняться для каждого сертификата. Проверка срока действия и сверка со СОС — перед каждым использованием открытого ключа.

Сверка со списком отозванных сертификатов также может выполняться как в режиме онлайн, так и в режиме офлайн (и также, даже если поддерживается режим онлайн, поддерживается, наверное, и режим офлайн). Рассмотрим подробнее режим офлайн. В простейшем случае СОС пользователя формируется на основе сообщений от других пользователей. Если ИУОК поддерживает репозиторию отозванных сертификатов, организуется рассылка СОС всем пользователям (периодическая или по запросу). Такие списки в простейшем случае представляют собой списки серийных номеров отозванных сертификатов, вместе с пометкой времени выпуска заверенных цифровой подписью доверенного издателя; может также указываться причина отзыва. При таком способе доведения к пользователям сведений об отозванных сертификатах возникают, главным образом, следующие две взаимосвязанные проблемы:

  • возможное опоздание в поступлении СОС к пользователям (скомпрометированный ключ может быть использован еще до того, как к пользователю дойдут сведения о его недействительности);
  • слишком большой, во многих случаях, размер СОС.

Обе проблемы решаются путем деления общего СОС на части. Например, низменность может быть осуществлена вне причин отзыва (важно свериться со списком тех сертификатов, которые отозваны вследствие компрометации секретных ключей), или по категориям владельцев отозванных сертификатов. Кроме того, в определенный момент времени СОС могут рассылать, так называемые, дельта-СОС (delta-CRL) — дополнение к полным СОС за определенный промежуток времени.

Порядок принятия решения о доверии издателю зависит от статуса издателя – есть он ЦС или обычный пользователь. Пользователи, как правило, доверяют всем ЦС системы, если последние выдают сертификаты согласно своим полномочиям (отказ от доверия какому-либо из ЦС фактически означает ограничение круга своих возможных корреспондентов). В случае, когда издатель является обычным пользователем (т.е. когда не определены четкие обязательства издателя перед пользователем), не может быть и речи о заблаговременном доверии к такому издателю (как и о проверке действительности выданного им сертификата в режиме онлайн). Пользователь в этом случае может доверять лишь тем издателям, которых знает лично, или тем, относительно которых имеет надежные рекомендации (возможно также предположить ситуацию, когда пользователь доверяет такому издателю сначала безосновательно, а потом, получив от него несколько действительных сертификатов, на основании удачного опыта, но это можно считать результатом личного общения). Фактически, ИУОК, издатель которой не имеют четких обязательств (которая не имеет центров сертификации), предоставляет пользователям средства безопасного обмена открытыми ключами только с теми корреспондентами, которые принадлежат или приближенные к кругу их личных знакомых (к так называемой сети доверия). Чтобы помочь пользователям в принятии решений о доверии к издателям в таких системах может применяться концепция кумулятивного доверия. При этом допускается наличие нескольких сверяющих подписей в одном сертификате. Получая такой сертификат, пользователь принимает решение о его действительности, исходя из суммарного доверия, которое он ощущает к его подписчикам (например, может признать сертификат действительным, если он подписан, как минимум, двумя (тремя и т.д.) пользователями, которым он частично доверяет).

Об авторизации полномочий язык может идти только по отношению к издателю, который является ЦС. ЦС, согласно принятой политике издания сертификатов, может иметь ограниченные полномочия (могут быть предназначены для обслуживания разных категорий пользователей, издание сертификатов разных классов и т.п.). Чтобы иметь возможность авторизовать полномочие ЦС на издание того или иного сертификата, пользователь должен сначала получить сведения о полномочии этого ЦС (а при выполнении авторизации просто сверяться с этими сведениями).

Получить такие сведения пользователь может или путем обходного (out-of-band) контакта с администрацией ЦС, или путем получения и проверки действительности сертификата, который сообщает о полномочии этого ЦС.  По обыкновению, в этом сертификате  указывается и открытый ключ ЦС, т.е. сведения о полномочии ЦС пользователь получает вместе с открытым ключом ЦС.

На правах спонсора:

Существует мнение, что все о компьютерах и интернете (см. pcclock.ru) сегодня можно найти только на одном сайте!..


Добавить комментарий

Яндекс.Метрика