Сертификат X.509
Х.509 -- это другой очень распространённый формат. Все сертификаты Х.509 согласованы с международным стандартом ITU-T X.509; таким образом (теоретически), сертификат Х.509, созданный для одного приложения, может быть использован в любом другом, поддерживающим этот стандарт. На деле, однако, выясняется, что разные компании создали собственные расширения Х.509, многие из которых друг с другом никак не совместимы.
Имея дело с PGP-сертификатом, каждый может выступать в качестве заверителя содержащейся в нём информации (за исключением случаев, когда эта возможность намеренно ограничена системным администратором). Однако, в случае сертификатов Х.509, заверителем может быть только Центр сертификации или некто, специально уполномоченный им. (Имейте в виду, что PGP-сертификаты также в полной мере поддерживают иерархическое структурирование системы доверия, использующее ЦС для удостоверения сертификатов.)
Сертификат Х.509 -- это набор стандартных полей, содержащих сведения о пользователе или устройстве, и их соответствующий открытый ключ. Стардарт Х.509 определяет, какие сведения входят в сертификат и как они кодируются (формат данных).
Сертификат Х.509 содержит следующие сведения:
Версия Х.509 -- указывает, на основе какой версии стандарта Х.509 построен данный сертификат, что определяет, какая информация может в нём содержаться.
Открытый ключ обладателя сертификата -- открытый ключ совместно с идентификатором используемого алгоритма (указывающим криптосистему, к которой принадлежит данный ключ) и прочая аналогичная информация о параметрах ключа.
Серийный номер сертификата -- сообщество (программа или лицо), создавшее сертификат, обязано снабдить его уникальным серийным номером для его выделения среди прочих сертификатов, выданных данным сообществом. Эта информация применяется в ряде случаев; например, при ревокации сертификата, его серийный номер помещается в реестр аннулированных сертификатов (Certificate Revocation List, CRL).
Уникальный опознаватель обладателя ключа (или DN, distinguished name -- уникальное имя) -- это имя должно быть уникальным и единственным во всём Интернете. DN состоит из нескольких подсекций и может выглядеть примерно так:
CN=Bob Davis, EMAIL=bdavis@pgp.com, OU=PGP Security Division, O=Network Associates, Inc., C=US
(Что обозначает Понятное имя субъекта, Электронную почту, Подразделение организации, Органицию и Страну соответственно.)
Срок действия сертификата -- дата/время начала действия сертификата и дата/время окончания его действия; указывает на то, когда сертификат станет просрочен.
Уникальное имя выдавшего сертификат -- уникальное имя сообщества, подписавшего сертификат. Обычно, это наименование Центра сертификации. Использование сертификата подразумевает доверие сообществу, его подписавшему. (Учтите, что иногда, в частности, в случаях с корневыми сертификатами и сертификатами высших уровней Центров сертификации, выдающий его -- как правило, этот же ЦС -- сам его и подписывает.)
ЭЦП выдавшего сертификат -- электронная подпись, созданная частным ключом сообщества, выдавшего сертификат.
Идентификатор алгоритма подписи -- указывает алгоритм, использованный ЦС для подписания сертификата.
Существует ряд различий между форматами сертификатов Х.509 и PGP, но наиболее выделяются следующие:
вы можете лично создать собственный PGP-сертификат; вы должны запросить и получить сертификат Х.509 от Центра сертификации;
сертификаты Х.509 поддерживают только одно имя обладателя сертификата;
сертификаты Х.509 поддерживают только одну ЭЦП, подтверждающую достоверность сертификата.
Чтобы получить сертификат Х.509, вы должны попросить ЦС выдать его вам. Вы предоставляется свой открытый ключ, тем самым доказывая, что обладаете соответствующим частным, а также некоторые идентифицирующие вас сведения. Затем вы электронно подписываете эти сведения и отправляете весь пакет -- запрос сертификата -- в Центр сертификации. ЦС выполняет определённый процесс по проверке подлинности предоставленной вами информации и, если всё сходится, создаёт сертификат и возвращает его вам.
Вы можете представить сертификат Х.509, как обычный бумажный сертификат или аттестат с прилепленным к нему общественным ключом. На нём написано ваше имя, а также некоторые сведения о вас, плюс подпись лица, выдавшего сертификат.
Рис. Сертификат Х.509
Вероятно, наибольшая польза от сертификатов Х.509, это их применение в Веб-браузерах.
|
