Ноу Інти, лекція, сертифікати відкритих ключів

Анотація: Описується формат сертифіката відкритого ключа, дається коротка характеристика обов'язкових і опціональних полів сертифіката, детально розглядаються обмежують і інформаційні доповнення сертифіката, обговорюються альтернативні формати сертифікатів, пояснюються принципи функціонування простий інфраструктури відкритих ключів, систем PGP і SET, дається уявлення про атрібутних сертифікатах.

Формат сертифікатів відкритих ключів X.509

  • серійний номер сертифіката Certificate Serial Number;
  • ідентифікатор алгоритму підпису Signature Algorithm Identifier;
  • ім'я видавця Issuer Name;
  • період дії Validity (Not Before / After);
  • відкритий ключ суб'єкта Subject Public Key Information;
  • ім'я суб'єкта сертифіката Subject Name.

Під суб'єктом сертифіката розуміється сторона, яка контролює секретний ключ, який відповідає цьому відкритому ключу. Наявність необов'язкових полів характерно для сертифікатів версій 2 і 3, до необов'язковим полях сертифіката відносяться номер версії, два унікальних ідентифікаторів і доповнення. Структура сертифіката представлена ​​на рис. 6.1.

У полі Version (див. Табл. 6.1) задає синтаксис сертифіката, за замовчуванням передбачається перша версія сертифікату. Якщо в поле версії вказується 2. то сертифікат містить тільки унікальні ідентифікатори, а якщо 3. то в сертифікат включаються і унікальні ідентифікатори, і доповнення, що характерно для всіх сучасних сертифікатів. Сертифікати першої версії не містять унікальні ідентифікатори або доповнення.

Ноу Інти, лекція, сертифікати відкритих ключів


Мал. 6.1. структура сертифіката

Видавець сертифікатів присвоює кожному випускається сертифікату серійний номер Certificate Serial Number. який повинен бути унікальний. Комбінація імені видавця і серійного номера однозначно ідентифікує кожен сертифікат.

В поле Signature Аlgorithm Identifier вказується ідентифікатор алгоритму ЕЦП. який використовувався видавцем сертифіката для підпису сертифіката, наприклад ГОСТ Р 34.10-94 (див. рис. 6.2).

Ноу Інти, лекція, сертифікати відкритих ключів


Мал. 6.2. Приклад сертифіката формату X.509

Поле Issuer Name містить відмітна ім'я (формату X.500) третьої довіреної сторони, тобто видавця, який випустив цей сертифікат. В поле Validity (Not Before / After) зазначаються дати початку та закінчення періоду дії сертифіката.

Поле Subject Name містить відмітна ім'я суб'єкта, тобто власника секретного ключа, відповідного відкритого ключа даного сертифіката. Суб'єктом сертифіката може виступати УЦ, РЦ або кінцевий суб'єкт.