Опубликован: 26.01.2005 | Уровень: специалист | Доступ: платный | ВУЗ: Московский государственный университет имени М.В.Ломоносова
Лекция 6:

Инфраструктура Открытого Ключа (часть 6)

Содержимое запроса отмены

При запросе отмены сертификата (или нескольких сертификатов) используется следующая структура данных. Имя запрашивающего присутствует в PKIHeader -структуре.

RevReqContent ::= SEQUENCE OF RevDetails
  RevDetails ::= SEQUENCE {
  certDetails     CertTemplate,
  -- позволяет запрашивающему указать
  -- как можно больше 
  -- сведений о сертификате,
  -- для которого требуется отмена 
  -- (например, для случаев, когда
  -- serialNumber недоступен)
  revocationReason ReasonFlags OPTIONAL,
  -- причина запроса отмены 
  badSinceDate GeneralizedTime OPTIONAL,
  -- указывает максимальные знания
  -- отправителя 
  crlEntryDetails Extensions OPTIONAL
  -- запрошенные crlEntryExtensions
}
Содержимое ответа отмены

Ответ на предыдущее сообщение. Если отмена произведена, то данное сообщение посылается запрашивающему. Отдельное уведомление об отмене может быть послано субъекту сертификата, для которого запрошена отмена.

RevRepContent ::= SEQUENCE {
  status SEQUENCE SIZE (1..MAX)
    OF PKIStatusInfo,
    -- в той же последовательности,
    -- как было послано в RevReqContent
  revCerts [0] SEQUENCE SIZE
    (1..MAX) OF CertId OPTIONAL,
    -- Ids, для которых запрошена отмена
    -- (тот же порядок, что и status)
  crls [1] SEQUENCE SIZE (1..MAX)
    OF CertificateList OPTIONAL
    -- результирующие CRLs (может
    -- быть более одного)
}
Содержимое запроса кросс-сертификации

Запросы кросс-сертификации используют тот же самый синтаксис ( CertReqMessages ), что и обычные запросы сертификации, с тем лишь ограничением, что пара ключей должна быть создана запрашивающим СА, и закрытый ключ не должен быть послан отвечающему СА.

Содержимое ответа кросс-сертификации

Ответы кросс-сертификации используют тот же синтаксис ( CertRepMessages ), что и для обычных ответов сертификации, с тем лишь ограничением, что не посылается зашифрованный закрытый ключ.

Содержимое оповещения об изменении ключа СА

Когда СА изменяет собственную пару ключей, для оповещения может использоваться следующая структура данных.

CAKeyUpdAnnContent ::= SEQUENCE {
  OldWithNew Certificate, 
    -- старый pub, подписанный новым priv
  NewWithOld Certificate, 
    -- новый pub, подписанный старым priv
  NewWithNew Certificate 
    -- новый pub, подписанный новым priv
}
Оповещение сертификата

Данная структура может использоваться для оповещения о существовании сертификатов.

Считается, что данное сообщение будет использоваться в тех ситуациях (если они возникнут), когда не существует методов для опубликования сертификатов; не считается, что она будет использоваться, например, в том случае, если для опубликования сертификатов используется директория.

CertAnnContent ::= Certificate
Оповещение об отмене

При выполнении СА отмены или предположении отмены может быть выпущен специальный сертификат для оповещения об этом событии.

RevAnnContent ::= SEQUENCE {
  status PKIStatus,
  certId CertId,
  willBeRevokedAt GeneralizedTime,
  badSinceDate GeneralizedTime,
  crlDetails Extensions OPTIONAL
    -- детали extra CRL (например,
    -- crl number, reason, location, etc.)
}

СА может использовать такое оповещение для уведомления субъекта о том, что его сертификат отменен или его предполагается отменить. Это обычно используется в тех случаях, когда запрос отмены приходит не от того субъекта, которого он касается.

Поле willBeRevokedAt содержит время, когда новая запись будет добавлена в соответствующие CRLs.

Оповещение о CRL

Когда СА выпускает новый CRL (или множество CRLs), для оповещения о данном событии может использоваться следующая структура данных.

CRLAnnContent ::= SEQUENCE
  OF CertificateList
Содержимое подтверждения PKI

Данная структура данных используется при трехстороннем протоколе в качестве заключительного PKIMessage. Его содержимое является одним и тем же во всех случаях – на самом деле оно не имеет содержимого, т.к. PKIHeader уже содержит всю необходимую информацию.

PKIConfirmContent ::= NULL
Содержимое общего сообщения PKI
InfoTypeAndValue ::= SEQUENCE {
  infoType       OBJECT IDENTIFIER,
  infoValue       ANY DEFINED BY infoType  OPTIONAL
}
-- пример содержимого InfoTypeAndValue включает, но не 
-- ограничивается :
-- { CAProtEncCert       = {id-it 1}, Certificate       }
-- { SignKeyPairTypes     = {id-it 2}, SEQUENCE OF 
-- AlgorithmIdentifier }
-- { EncKeyPairTypes     = {id-it 3}, SEQUENCE OF 
-- AlgorithmIdentifier }
-- { PreferredSymmAlg   = {id-it 4}, AlgorithmIdentifier  }
-- { CAKeyUpdateInfo     = {id-it 5}, CAKeyUpdAnnContent  }
-- { CurrentCRL         = {id-it 6}, CertificateList   }
-- где {id-it} = {id-pkix 4} = {1 3 6 1 5 5 7 4}
-- данная конструкция может также использоваться для 
-- определения новых сообщений запроса и ответа PKIX 
-- Certificate Management Protocol, или для сообщений, 
-- используемых для общих целей, которые могут 
-- понадобиться в будущем в конкретных окружениях.
GenMsgContent ::= SEQUENCE OF InfoTypeAndValue
  -- Может быть послано EE, RА или СA (в зависимости от 
  -- содержимого сообщения). Параметр OPTIONAL infoValue 
  -- для InfoTypeAndValue для примеров, приведенных 
  -- ниже, обычно опущен. Получатель может игнорировать 
  -- все, что содержит OBJ.IDs, которые не распознаны. 
  -- Если посылается от EE к CA, то пустое множество 
  -- указывает, что СA может послать всю/любую 
  -- интересующую информацию.
Листинг 18.5. Содержимое общего сообщения PKI
Содержимое общего ответа PKI
GenRepContent ::= SEQUENCE OF
  InfoTypeAndValue
  -- Получатель может игнорировать
  -- любое содержимое 
  -- OBJ.IDs, которое он не распознает.
Содержимое сообщения об ошибках
ErrorMsgContent ::= SEQUENCE {
  pKIStatusInfo PKIStatusInfo,
  errorCode INTEGER OPTIONAL,
  -- конкретные для реализации
  -- коды ошибок 
  errorDetails PKIFreeText OPTIONAL
  -- конкретные для реализации
  -- детали ошибок }
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????