Управление жизненным циклом сертификатов и ключей

Если секретный ключ пользователя потерян, похищен или скомпрометирован, либо существует вероятность наступления таких событий, действие сертификата должно быть прекращено. После получения подтверждения запроса пользователя об аннулировании сертификата УЦ уведомляет об аннулировании все заинтересованные стороны, используя список аннулированных сертификатов (САС).

УЦ заверяет цифровой подписью сертификат, связывающий открытый ключ с идентичностью пользователя. Однако события реального мира часто разрушают эту связь: идентификационные данные субъекта могут измениться, например, при заключении брака (девичья фамилия заменяется фамилией супруга) или при хищении его секретного ключа злоумышленником. Появляется необходимость в предупреждении остального сообщества пользователей о недопустимости использования данного ключа для данной идентичности. Этот механизм предупреждения в терминах PKI называется аннулированием сертификатов.

Пример 3.1. В качестве примера можно привести следующую аналогию аннулирования сертификатов. Водительские права - это один из видов сертификатов, который связывает идентичность (имя и фотографию) с номером водительских прав (то есть разрешением на вождение) и выдается доверенным центром (автоинспекцией). Когда инспектор останавливает машину, то он не просто проверяет, на какой срок выданы права, но также может связаться с доверенным центром, чтобы выяснить, не были ли права аннулированы. Проверка на предмет аннулирования необходима, потому что иногда связь "идентичность-разрешение" в непросроченных правах не является надежной [10].

Механизм аннулирования сертификатов необходим во всех случаях, за исключением тех, когда используются сертификаты, имеющие короткий срок действия и эффективные только для однократного использования. Одноразовые сертификаты непрактичны во многих PKI-средах, поскольку создают огромную нагрузку на УЦ. Сертификаты с ограниченным сроком действия, которые могут использоваться многократно в течение этого срока, уменьшают нагрузку на УЦ, но при определенных обстоятельствах требуют поддержки аннулирования.

Аналогично аннулированию осуществляется приостановление действия сертификата. Оно заключается в однократной отмене сертификата на некоторое время в течение периода его действия. После этого действие сертификата возобновляется автоматически или же сертификат аннулируется. Приостановление действия сертификата осуществляется в тех ситуациях, когда невозможно установить подлинность лица, обращающегося с запросом об аннулировании.

Управление жизненным циклом сертификатов и ключей

Читайте также

12.5.3. Генерирование сертификатов

Управление жизненным циклом и маршалинг

Схема лизингового управления циклом существования САО-типов и WKO-синглетов

18.5.3. Использование команды ls совместно с циклом for

18.5.4. Применение параметров вместе с циклом for

Формат сертификатов

Репозиторий сертификатов

Выпуск сертификатов

Управление историями ключей

Формат сертификатов открытых ключей X.509

Лекция 7. Классификация сертификатов и управление ими

Взаимосвязи сертификатов и пар ключей

Управление несколькими парами ключей

Жизненный цикл сертификатов и ключей

Примерные сценарии управления жизненным циклом сертификатов и ключей