Список отозванных сертификатов (CRL)
CRL (Certificate Revocation Lists) представляет собой список отозванных сертификатов конкретного УЦ. Он свободно распространяется через общедоступный репозиторий УЦ.
Отзыв сертификата означает запрет использования данного сертификата в дальнейшем. Любой сертификат может быть отозван либо по окончании срока действия, либо до окончания срока его действия, как минимум, по одной из следующих причин:
- скомпрометирован (утерян, либо стал известен сторонним лицам) соответствующий сертификату секретный ключ;
- изменились персональные данные владельца сертификата.
В списке CRL каждый отозванный сертификат опознается по своему серийному номеру. Когда у какой-то системы возникает необходимость в использовании сертификата (например, для проверки цифровой подписи удаленного пользователя), эта система не только проверяет подпись сертификата и срок его действия, но и просматривает последний из доступных списков отозванных сертификатов, проверяя, не отозван ли этот сертификат.
УЦ обязаны регулярно публиковать списки отозванных сертификатов. Каждый CRL, во избежание ложных отзывов сертификатов, снабжается электронной подписью УЦ, выпустившего список.
Любое приложение работающее с ЭЦП, в процессе проверки ЭЦП, обязано также проверять отсутствие всех сертификатов проверяемой цепочки в текущих CRL (включая корневой сертификат УЦ). В случае обнаружения отозванного сертификата, ЭЦП следует считать недействительной.
Архив сертификатов
Архив сертификатов – хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
Конечные пользователи
Конечные пользователи – пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.
Сертификат открытого ключа
Сертификат открытого ключа (чаще всего просто сертификат) – это данные пользователя и его открытый ключ, скрепленные подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу.
По своей сущности сертификат является справкой, официальным документом, имеющим свои атрибуты. Формирование первичного сертификата производится только при личной встрече субъекта и представителя УЦ. Это может быть представитель основного УЦ, подчиненного УЦ или РЦ. В любом случае субъект становится пользователем основного УЦ, и руководствуется доверием к нему. В последующем, обновление сертификата может происходить удалённо.
Сертификат выдаётся в электронной форме для работы в информационных системах, а так же может быть выдан в печатной форме, для предъявления в различных организациях в случае необходимости, либо для украшения стены офиса.
Сертификат имеет определенный набор полей соответствующего формата. Требования к сертификату описаны в международном стандарте X.509, имеющем уже несколько версий. В настоящее время самой распространённой является версия 3.
Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF).
ПРИМЕР СЕРТИФИКАТА X.509 v 3.
Version | Версия сертификата | |||
Certificate Serial Number | Серийный номер сертификата | 40:00:00:00:00:00:00:ab:38:1e:8b:e9:00:31:0c:60 | ||
Signature Algorithm Identifier | Идентификатор алгоритма ЭЦП | ГОСТ Р 34.10-94 | ||
Issuer X.500 Name | Имя Издателя сертификата | C=RU, ST=Moscow,O=PKI, CN=Certification Authority | ||
Validity Period | Срок действия сертификата | Действителен с : Ноя 2 06:59:00 1999 GMT Действителен по : Ноя 6 06:59:00 2004 GMT | ||
Subject X.500 Name | Имя Владельца ключа | C=RU, ST=Moscow, O=PKI, CN=Sidorov | ||
Subject Public Key Info | Открытый ключ Владельца | тип ключа: Открытый ключ ГОСТ длина ключа: 1024 значение: AF:ED:80:43..... | ||
Issuer Unique ID version 2 | Уникальный идентификатор Издателя сертификата | |||
Subject Unique ID version 2 | Уникальный идентификатор Владельца ключа | |||
| дополнения | |||
| ||||
| ||||
CA Signature ЭЦП Центра Сертификации |
Поля сертификата
Давайте более подробно познакомимся с содержанием и значениям, отображаемыми в полях сертификата [21].
Версия
Данное поле описывает версию сертификата. По умолчанию предполагается первая версия сертификата. Если в поле версии указывается 2, то сертификат содержит только уникальные идентификаторы, а если 3, то в сертификат включаются и уникальные идентификаторы, и дополнения
Рис. 25. Различие версий сертификата
Серийный номер сертификата
Серийный номер является целым числом, устанавливаемым удостоверяющим центром для каждого сертификата. Значение должно быть уникальным для каждого сертификата, выпущенного данным УЦ. Имя Издателя и серийный номер сертификата совместно являются уникальным идентификатором сертификата.
Идентификатор алгоритма ЭЦП
Поле содержит идентификатор криптографического алгоритма, используемого УЦ для выработки ЭЦП сертификата.
Имя Издателя сертификата
Поле Издатель идентифицирует объект (субъект), который сформировал ЭЦП и издал сертификат. Значение в поле Издатель должно содержать ненулевое значение DN (distinguished name). Значение поля состоит из набора иерархических атрибутов, таких как код страны и соответствующего ему значения (AttributeValue, например, RU).
Срок действия сертификата
Данное поле определяет срок действия (в виде временного интервала) в течение которого УЦ управляет сертификатом (отслеживает состояние). Поле представляет последовательность двух дат: дата начала действия сертификата (notBefore) и дата окончания срока действия сертификата (notAfter).
Имя Владельца ключа
Поле Владелец идентифицирует объект (субъект), являющийся обладателем секретного ключа, соответствующего открытому ключу в сертификате.
Открытый ключ Владельца
Данное поле используется для хранения открытого ключа и идентификации алгоритма, соответствующего открытому ключу.