skip to content
HomeНадежность и безопасность информационно-управляющих систем Цифровые сертификаты Х.509 v3

Цифровые сертификаты Х.509 v3 (часть 3)

Поле Расширение — это дополнительный атрибут, связанный с пользователем или открытым ключом и предназначенный для управления процессами сертификации.

Поле Отозванный сертификат — таких полей может быть несколько — столько, сколько сертификатов отзывается. Об отозванном сертификате приводится следующая информация:

  • серийный номер;
  • дата, с которого вступает в силу отзыв;
  • расширения сертификата.

Поле Алгоритм ЭЦП — идентификатор алгоритма, используемый при подписании сертификата. Должен совпадать с полем Алгоритм подписи.

Соответственно поле ЭЦП — набор битов, составляющих электронно-цифровую подпись под данным сертификатом. В ее формировании участвуют поля, указанные в теле CRL.

Расширения самого CRL включают схожую с сертификатом функциональность, а также дополнительную функциональность:

  • обеспечивают последовательную нумерацию CRL для облегчения управления списками;
  • обеспечивают накопление приложениями информации об отозванных сертификатах (так называемые, delta CRL);
  • определяют пункт распространения CRL.

Расширения, связанные с сертификатами, имеют следующую функциональность, отличную от функциональности самого сертификата:

  • определяют причину отзыва сертификата;
  • определяют фиксированный набор инструкций — действий выполняемых с отзываемыми сертификатами;
  • указывают дату компрометации секретного ключа или другой причины недействительности сертификата.

Полный список расширений и функций можно найти в соответствующей документации.

Нам осталось рассмотреть, какие алгоритмы и методы криптографии допустимы в работе с сертификатами.

Как известно, для формирования ЭЦП необходимо использование как минимум двух типов алгоритмов — однонаправленной хэш-функции и криптографического алгоритма с открытыми ключами.

В качестве хэш-функции Х.509 использует алгоритмы MD2 (Message Digest 2), MD5 (Message Digest 5), SHA-1 (Secure Hash Algorithm). Алгоритмы с открытыми ключами— RSA (Rivest, Shamir, Adleman) и DSA (Digital Signature Algoritm). Субъектам разрешено использование для открытых ключей следующих алгоритмов: RSA, Diffie-Hellman, DSA.