Международные инициативы
PKI X.509
Как уже отмечалось выше, ведущим центром по выпуску согласованных стандартов в области PKI является рабочая группа PKIX организации IETF. Профиль сертификата и САС, который был описан в документе RFC 2459, известном как первая часть PKIX, стал предложенным стандартом в январе 1999 года, а затем дополнен и заменен в апреле 2002 года документом RFC 3280. RFC 3280 ввел в формат сертификата и САС дополнения, которые содержат информацию, позволяющую клиентскому программному обеспечению определять местонахождение УЦ и репозитория. Многие специалисты в области PKI признают разработку стандарта RFC 2459 поворотным моментом в развитии инфраструктур открытых ключей, способствовавшим созданию функционально совместимых PKI-продуктов (более подробная информация о документах группы PKIX приведена в разделе "Стандарты Internet X.509 PKI").
Проект EEMA PKI Challenge
Европейский Форум по электронному бизнесу (European Forum for Electronic Business - EEMA) с начала января 2001 года выполнял двухлетний проект PKI Challenge (pkiC), который финансировали Европейский Союз и правительство Швеции [211]. К участию в проекте помимо 13 организаций, входящих в состав Форума, были привлечены поставщики PKI-продуктов, пользователи, консультанты, академические институты, поставщики услуг по выпуску и поддержке цифровых сертификатов для выработки решений по обеспечению функциональной совместимости PKI-продуктов. Рекомендации, выработанные в результате реализации проекта, приведены в табл. 15.8.
Таблица
15.8.
Рекомендации проекта pkiC Европейского Форума по электронному бизнесу
| Компонент PKI |
Рекомендация |
| УЦ |
УЦ должен публиковать списки аннулированных сертификатов (САС) в соответствии со стандартом X.509 v2. В сертификатах должно присутствовать дополнение CRL Distribution Points, где перечислены пункты распространения САС.
Все действия, выполняемые УЦ, должны регистрироваться в контрольных журналах.
Для автоматической регистрации конечных пользователей должен поддерживаться, по крайней мере, протокол Simple CMP
|
| Репозиторий |
Предпочтительно использование репозитория типа X.500, доступ к которому осуществляется по протоколу LDAP. Поставщикам следует ориентироваться на поддержку LDAP v3.
Необходимо поддерживать следующий минимальный набор компонентов отличительного имени Distinguished Name (DN):
- C (страна);
- L (местонахождение);
- O (организация);
- OU (подразделение организации);
- CN (общее имя);
- DC (компонент домена).
Поставщикам следует реализовать и протестировать дополнения, введенные стандартом RFC 3280, которые содержат информацию о местонахождении удостоверяющих центров Authority Information Access и репозиториев Subject Information Access
|
|
OCSP-респондер
|
Ответ OCSP-респондера может быть подписан одним из следующих ключей:
- ключом, которым подписан проверяемый сертификат, то есть ключом того УЦ, который выпустил сертификат, подлежащий валидации;
- ключом, выпущенным для OCSP-респондера вместе с соответствующим сертификатом открытого ключа, который имеет в поле дополнения Extended Key Usage параметр OCSP-Signing. Этот сертификат должен быть выпущен тем же УЦ, который издал сертификат, подлежащий валидации;
- ключом, который является действующим внутри локальной конфигурации центра подписания OCSP-ответа для сертификата, подлежащего валидации.
Те поставщики, которые пока не реализовали поддержку OCSP-ответа, должны ориентироваться на второй вариант
|
| Клиентское ПО |
Клиентское ПО конечного субъекта должно иметь возможность:
- генерировать пару ключей для регистрации;
- управлять содержимым локального репозитория, предназначенного для хранения копий сертификатов корневого УЦ, списков САС и сертификатов корреспондентов;
- локально управлять идентификационными данными субъекта, а также предлагать средства дистанционного управления ими через УЦ
|
| PKI-совместимые приложения |
Приложения, использующие PKI, должны:
- работать с файловыми форматами PKCS#10, PKCS#7 и PKCS#11, а также поддерживать либо протокол PKIX-CMP, либо CMC;
- иметь возможность выполнять поиск в каталоге LDAP или любом LDAP-совместимом каталоге;
- понимать дополнения сертификатов, связывающих сертификат с той PKI, которая его поддерживает (т.е. crl Distribution Point, authority Information Access, Subject Information Access)
|
Поскольку для PKI используется большой и сложный комплекс программных продуктов, которые должны работать в условиях открытого рынка, поставщики сталкиваются с необходимостью поддерживать большое количество различных стандартов. Более того, учитывая некоторое запаздывание в разработке технологии, которое демонстрирует рынок PKI, поставщики также должны обеспечивать совместимость еще и с некоторыми стандартами, которые были заменены или признаны лишними. В связи с этим в рамках проекта был предложен минимальный список стандартов, поддержку которых в целях функциональной совместимости должны обеспечить поставщики PKI-продуктов (см. табл. 15.9).
Таблица
15.9.
Рекомендуемый список поддерживаемых стандартов
| Стандарты PKIX |
RFC 2459/RFC 3280: Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation
List (CRL) Profile
RFC 2510: Internet X.509 Public Key Infrastructure
Certificate Management Protocols
RFC 2511: Internet X.509 Certificate Request Message
Format
RFC 2511 bis Internet X.509 Certificate Request
Message Format
RFC 2797: Certificate Management Messages over
CMS
RFC 2559: Internet X.509 Public Key Infrastructure
Operational Protocols - LDAP v2
RFC 2587: Internet X.509 Public Key Infrastructure
LDAP v2 Schema
RFC 3279: Algorithms and Identifiers for the Internet
X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile |
| Стандарты PKCS
|
PKCS#1: RSA Cryptography Standard
PKCS#7: Cryptographic Message Syntax Standard
PKCS#10: Certification Request Syntax Standard
PKCS#11: Cryptographic Token Interface Standard
PKCS#12: Personal Information Exchange Syntax
Standard
PKCS#15: Cryptographic Token Information Format
Standard |
| Дополнительные стандарты |
RFC 1777: Lightweight Directory Access Protocol
RFC 1823: The LDAP Application Program Interface
RFC 2251: Lightweight Directory Access Protocol (v3)
RFC 2252: Lightweight Directory Access Protocol
(v3): Attribute definition
RFC 2253: Lightweight Directory Access Protocol (v3):
UTF-8 String Representation of Distinguished Names
RFC 2254: Lightweight Directory Access Protocol (v3)
The String Representation of LDAP Search Filters
RFC 2255: Lightweight Directory Access Protocol (v3)
The LDAP URL Format
RFC 3369: S/MIME Cryptographic Message Syntax |
| Проекты стандартов |
Draft RFC2510 bis: Internet X.509 Public Key
Infrastructure Certificate Management Protocols
Draft: Internet X.509 Public Key Infrastructure LDAP
v2 Schema for X.509 CRLs
Draft: Internet X.509 Public Key Infrastructure LDAP
v2 Schema for X.509 Attribute Certificates
Draft: LDAP v3 DN strings for use with PKIs |
Следует отметить, что этот проект, как и все перечисленные выше, был в значительной степени ориентирован на техническое тестирование и проверку совместимости программного обеспечения. Однако развертывание PKI связано не только с техническими, но и с правовыми и человеческими аспектами, от которых также может зависеть совместимость инфраструктур открытых ключей.
