Протоколы безопасного сетевого взаимодействия



Требования к управлению PKI


Рассматриваемые протоколы должны удовлетворять следующим требованиям к управлению PKI.

  1. Управление PKI должно соответствовать стандарту ISO 9594-8 и связанным с ним расширениям сертификата.
  2. Управление PKI должно соответствовать остальным частям стандарта Х.509 v3.
  3. Должна быть возможность регулярного изменения любой пары ключей без влияния на какую-либо другую пару ключей.
  4. Использование сервисов, обеспечивающих конфиденциальность, в протоколах управления PKI должно быть сведено к минимуму, чтобы уменьшить связанные с этим проблемы.
  5. Протоколы управления PKI должны допускать использование различных криптографических алгоритмов, являющихся промышленными стандартами (специально включая только RSA, DSA, MD5, SHA-1). Это означает, что данный СА, RA или конечный участник могут в принципе использовать для своей пары ключей любой набор алгоритмов.
  6. Протоколы управления PKI не должны препятствовать созданию пары ключей как конечным участником, так и RA или СА –ключ может создаваться где-то еще, но в целях управления PKI мы можем предполагать, что генерация ключа происходит в тот момент, когда он впервые передан конечному участнику, RA или СА.
  7. Протоколы управления PKI должны поддерживать опубликование сертификатов, относящихся к конечным участникам, RA или СА.
  8. Протоколы управления PKI должны поддерживать создание CRLs, позволяя сертифицированным конечным участникам посылать запросы на отмену сертификатов – это должно быть организовано так, чтобы невозможно было предпринять DoS-атаку.
  9. Протоколы управления PKI должны использоваться поверх различных транспортных механизмов, включая LDAP, SMTP, HTTP, TCP/IP и FTP.
  10. Конечным уполномоченным органом при создании сертификата является СА; предполагается, что оборудование ни конечного участника, ни RA не может выпустить сертификат – СА может изменить значения полей сертификата или может добавить, удалить или изменить расширения в соответствии со своей политикой функционирования. Например, СА может уменьшить запрошенный период действительности.




    Содержание  Назад  Вперед