Именование субъектов

Именование субъектов

Сертификатом называют подписанную, то есть заверенную цифровой подписью, структуру данных, связывающую пару ключей (явным образом открытый ключ и неявно секретный ключ) с идентичностью. Рассмотрим, что такое идентичность.

Имя - это набор данных, который отличает одного субъекта от любого другого субъекта в данной среде; то есть уникально идентифицирует этот субъект в данной среде. Имя действует как идентификатор этого субъекта. Имя может быть простым (таким как личное имя), составным (например, имя, отчество и фамилия), а может содержать другую информацию (гражданство, место жительства, адрес электронной почты и т.п.). Все это зависит от домена, которому принадлежит данный субъект. Размер и характеристики домена определяют количество информации, необходимой для уникальности имени.

Вообще говоря, субъект может и не иметь имени (то есть действовать анонимно), может пользоваться псевдонимом (фальшивым именем) или веронимом (настоящим именем). Вероним - это и есть то, что обычно подразумевается под идентичностью субъекта. Таким образом, идентичность не только уникально идентифицирует, или отличает субъекта в данной среде, но и раскрывает данные реальным миром имя, фамилию субъекта или аналогичную информацию, точно соответствующую человеку или объекту реального мира [44]. Поскольку реализации PKI обычно помещают вероним в сертификат субъекта - в поле Subject (субъект) или Subject Alt Name (альтернативное имя субъекта), - то, вообще говоря, PKI связывает пару ключей с идентичностью субъекта, хотя концептуально эта формулировка ограничена и использование вместо нее имени является технически более точным.

Путаница в терминологии часто происходит из-за того, что слова идентифицировать, идентификационная информация, идентифицируемый и идентификатор могут использоваться в двух смыслах. В более широком они служат просто для того, чтобы отличать или выделять данного субъекта из группы субъектов; в более узком смысле они предназначены для того, чтобы отличать субъекта определенным образом, открывая данный ему в реальном мире вероним, или идентичность субъекта. Следовательно, в некоторых случаях идентификатором может быть и псевдоним, а в некоторых - только вероним. Путаница усиливается в связи с тем, что в сообществе безопасности термин "идентификация" используется только в узком смысле (как указано выше). Если шаг аутентификации открывает имя, но при этом оказывается, что имя должно быть настоящим, то этот шаг можно назвать идентификацией. Следует отметить, что многие люди используют имя только в узком смысле веронима.

Сложность достижения уникальности идентичности зависит от размера домена PKI. В небольшой закрытой среде уникальность идентичности достигается легко - для того чтобы различать субъектов, бывает достаточно даже просто обычных имен. Однако, как только масштаб домена возрастает, гарантировать уникальность имен становится все труднее. Некоторые специалисты считают, что в масштабе Интернета невозможно поддерживать глобальную уникальность имен.

С теоретической точки зрения, глобальная уникальность имен субъектов в целом достижима на базе механизма отличительных имен стандарта X.500 [54]. Это иерархическая структура именования с корнем наверху и центром именования в каждой вершине, каждый центр именования гарантирует уникальность имен вершин, находящихся в иерархии непосредственно под ним. Механизм отличительных имен гарантирует уникальность имен, если каждый субъект, который получит имя таким способом, официально регистрируется вместе с соответствующим центром именования и принимает присвоенное ему имя. В современных электронных коммуникациях базисом адресации и маршрутизации являются имена, образованные на основе IP-адресов и адресов электронной почты.

Однако механизм отличительных имен не считается абсолютно удачным, по крайней мере, по двум причинам:

1 Концепция каталога X.500 и полезность отличительных имен не кажется привлекательными основному сообществу пользователей из-за популярности и широкой распространенности альтернативного способа идентификации субъектов - имен электронной почты.

2 Во многих случаях субъекты при присвоении имен не прибегают к помощи центра именования, а выбирают себе имена сами. Таким образом, два разных субъекта могут присвоить себе одинаковые имена независимо от какого-либо центра именования. Очевидно, что глобальная уникальность имен достигается только, если все субъекты соблюдают правила образования отличительных имен стандарта X.500, но не существует способа гарантировать это.

Отличительные имена поддерживаются и в сертификатах формата X.509, но при этом разрешено использование альтернативных имен субъектов, таких как IP-адрес или адрес электронной почты, чтобы гарантировать уникальность имени субъекта и обеспечить связь с другими механизмами идентичности.