Инфраструктуры открытых ключей

:

Инфраструктуры открытых ключей
[+]
Опубликован: 15.11.2006 | Уровень: специалист | Доступ: платный | ВУЗ: Национальный исследовательский ядерный университет «МИФИ»
Лекция 9:

Типы списков аннулированных сертификатов и схемы аннулирования
A
|
версия для печати
< Лекция 8 || Лекция 9: 12345 || Лекция 10 >

Сравнительная характеристика разных схем аннулирования

Пока не накоплено достаточно информации об эффективности функционирования крупномасштабных PKI, можно сделать лишь некоторые предположения по поводу характеристик масштабируемости, скорости обработки и своевременности разных способов распространения информации об аннулировании, которые были рассмотрены в лекции. Главное - понять принципы разных схем аннулирования, чтобы сделать правильный выбор для конкретного PKI-домена или группы взаимодействующих PKI-доменов.

Вероятнее всего в средах с большим количеством пользователей при использовании полных списков САС не удастся избежать проблем масштабирования. Порог, при котором масштабирование становится проблемой, зависит от нескольких факторов, включая количество пользователей, период действия сертификатов и частоту аннулирования. Пункты распространения САС позволяют значительно повысить скорость обработки списков САС и масштабируемость, а для более эффективного и своевременного распространения информации об аннулировании с пунктами распространения САС могут комбинироваться дельта-списки САС.

Онлайновые механизмы типа протокола OCSP достаточно эффективны, но отсутствие статистических данных не позволяет оценить их возможности для решения проблем масштабируемости и скорости обработки списков САС. Требуется дополнительное исследование и оптимизация количества и физического распределения OCSP-респондеров, необходимых для обслуживания большого, территориально распределенного сообщества пользователей.

Важно отметить, что для гарантии целостности OCSP-ответы должны быть заверены цифровой подписью. Поскольку операция цифровой подписи выполняется для каждой транзакции, скорее всего, это будет иметь существенное влияние на скорость обработки запросов. С ростом числа запросов это влияние будет увеличиваться. Более того, протокол OCSP по определению является онлайновым сервисом. Очевидно, что это не годится для автономной работы, хотя кэширование ответов допускается.

В любом случае своевременность в конечном счете зависит от политики, и это заставляет сообщество поставщиков программных продуктов для PKI учитывать данное специфическое требование, выбирая подходящий способ информирования об аннулировании. Таблица 9.4 характеризует каждую из возможных схем аннулирования.

В лекции рассматривались разные способы распространения информации об аннулированных сертификатах. Ясно, что некоторые способы подходят для одних сред и не подходят для других. Поэтому разумно предположить, что поставщики PKI будут вынуждены предлагать вместе со своими продуктами ряд вариантов выбора стратегии аннулирования для конкретного PKI-домена. Следовательно, в будущем появятся гибриды этих способов распространения информации об аннулировании.

Таблица 9.4. Схемы аннулирования сертификатов
Схема Основное описание Примечания
Полные списки САС Заверенные цифровой подписью структуры данных, содержащие списки аннулированных сертификатов; определены стандартом X.509 Критичны с точки зрения скорости обработки, масштабируемости и своевременности. Однако на основе X.509 существуют альтернативные формы для повышения производительности, гарантирования масштабируемости и улучшения своевременности
Списки САС удостоверяющих центров Тип САС, который предназначен исключительно для информации об аннулировании, относящейся к удостоверяющим центрам; определен стандартом X.509 На практике обычно разделяется информация об аннулировании сертификатов удостоверяющих центров и конечных субъектов
Списки САС конечных субъектов Тип САС, который предназначен исключительно для информации об аннулировании относящейся к конечным субъектам; определен стандартом X.509 На практике обычно разделяется информация об аннулировании сертификатов удостоверяющих центров и конечных субъектов
Пункты распространения САС Используются для статичес-кого разбиения списков САС на части; определены стандартом X.509 Позволяет статически разбивать информацию об аннулировании сертификатов на более управляемые части
Дельта-списки и косвенные списки САС Используются для распространения небольших дельта-списков ; определены стандартом X.509 Могут использоваться для существенного повышения скорости обработки и поддержки своевременности. Комбинируются с другими формами списков САС
Косвенные списки САС Используются для объединения в одном списке информации об аннулировании от нескольких удостоверяющих центров; определены стандартом X.509 Могут использоваться для повышения скорости обработки при условии, что объединение информации из нескольких источников не требует больших затрат, чем поиск информации в каждом отдельном источнике
Онлайновый протокол статуса сертификата - OCSP Возможность онлайновых запросов используется для получения информации о статусе одного или нескольких сертификатов; определен в документе RFC 2560 Несмотря на то, что протокол предназначен для ответов в режиме реального времени, "свежесть" предоставляемой информации зависит от ее источника
Переадресующие списки САС Используются для динамического разбиения информации об аннулировании; определены в документе RFC 2560 Относительно новая концепция, которая совершенствует схему пунктов распространения САС
Деревья аннулирования сертификатов CRT Позволяют отображать информацию об аннулировании при помощи деревьев двоичных хэш-кодов; соответствующий метод разработан компанией Valicert Могут стать одним из альтернативных способов, применяемых сторонними поставщиками услуг для представления информации об аннулировании
Другие способы Используются, если доставка информации об аннулировании не требуется или реализуются по-другому Альтернативные способы подходят, если авторизация всех транзакций выполняется общим центром
Дальше >>
< Лекция 8 || Лекция 9: 12345 || Лекция 10 >

Вопросы и ответы

вопросов: 4
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

ответить
Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

ответить

Студенты

всего: 57
Алексей Хохлов
Алексей Хохлов
Россия, Балашиха
предложить дружбу
Константин Нестеренко
Константин Нестеренко
Россия, Волгоград
предложить дружбу