Идентификаторы объектов
Идентификаторы объектов
При принятии решения об использовании данного сертификата для конкретной цели и доверии к нему пользователь может ориентироваться на указатель ППС в сертификате формата X.509 версии 3. Таким указателем, характеризующим политику применения сертификатов, является уникальный зарегистрированный идентификатор объекта Object Identifier. Идентификаторы объектов - это один из простых типов данных, определяемых абстрактной синтаксической нотацией ASN.1. Идентификатор объекта задается последовательностью целочисленных компонентов (например, 1.3.6.1.4.1.6943 ), которая уникально идентифицирует объект (алгоритм, тип атрибута и т.п.) или центр регистрации идентификаторов.
Регистрация идентификаторов объектов выполняется в соответствии с процедурами, определенными стандартами Международной организации стандартизации (ISO), Международной электротехнической комиссии (IEC) и Международным союзом по телекоммуникациям (ITU). Сторона, регистрирующая Object Identifier, публикует текстовую спецификацию ППС для ознакомления с ней пользователей сертификатов. Каждый УЦ аккредитуется с учетом заявленных им политик, которые считаются базовыми. Перечень заявленных политик указывается в сертификате этого центра. Существует система международных, национальных и корпоративных центров регистрации. Во многих странах национальные организации стандартизации поддерживают регистр идентификаторов объектов. Центры регистрации идентификаторов создают иерархию идентификаторов объектов и гарантируют уникальность каждого идентификатора в общей системе. Каждый центр определяет смысл значений Object Identifier данной последовательности компонентов и несет ответственность за все последовательности компонентов, начиная с данной последовательности [2]. Центр может делегировать полномочия другому подчиненному центру регистрации идентификаторов.
Идентификаторы объектов часто применяют в сертификатах X.509 для:
* отображения криптографических алгоритмов (например, алгоритм SHA-1 с RSA имеет идентификатор 1.2.840.113549.1.1.5.);
* задания атрибута имени в отличительном имени субъекта;
* идентификации политик применения сертификатов ;
* указания расширенного назначения ключа;
* задания дополнений сертификатов и списков САС.
Модель доверия стандарта X.509 предполагает анализ идентификаторов ППС при обработке пути сертификации.
|Object Identifier 1.2.643.3.15.1 | Политика применения сертификатов ЗАО "Цифровая подпись" |
|1.2.643.3.15.1.1 | Общее использование в PKI без права заверения финансовых документов |
|1.2.643.3.15.1.2 | Оформление соглашений, договоров |
|1.2.643.3.15.1.3 | Организация внутрикорпоративного документооборота |
|1.2.643.3.15.1.5 | Закрепление авторских прав |
|1.2.643.3.15.1.7 | Использование в системах электронной коммерции |
Таблица 13.2.Примеры идентификаторов политик применения сертификата
PKI всегда должна поддерживать известные идентификаторы объектов. Программные продукты для PKI умеют распознавать и автоматически обрабатывать эту информацию. Однако развертывание новой PKI требует формирования, по крайней мере, одного нового идентификатора политики. Вообще говоря, корпоративная PKI может поддерживать 4-5 разных политик применения сертификатов. Иногда новые идентификаторы требуются для задания узкоспециальных дополнений сертификатов и списков САС. Идентификаторы объектов, определенные для удовлетворения этих локальных требований одной PKI, часто называются частными идентификаторами объектов, поскольку они принадлежат конкретной компании или организации (в табл. 13.2 приведены некоторые идентификаторы политик УЦ ЗАО "Цифровая подпись" [27]).