Протоколы безопасного сетевого взаимодействия


Терминология PKI - часть 2


  • Если используется аппаратный токен, то не все конечные участники имеют необходимое оборудование для его инициализации; оборудование RA может включать необходимую функциональность (это также может быть вопросом политики).
  • Не все конечные участники могут иметь возможность опубликовать сертификаты; для этого может использоваться RA.
  • RA может иметь возможность выпускать подписанные запросы отмены от имени конечного участника, связанного с ним, тогда как конечный участник не всегда имеет возможность сделать это (если пара ключей потеряна).

Некоторые организационные причины для использования RA могут быть следующие:

  • Может оказаться более эффективным сконцентрировать некоторую функциональность в оборудовании RA, чем иметь данную функциональность для всех конечных участников (особенно если используется специальное оборудование для инициализации токена).
  • Установление RАs в организации может уменьшить число необходимых СAs.
  • RAs могут быть лучше размещены для идентификации людей с их "электронными" именами, особенно если СА физически удален от конечного участника.
  • Для многих приложений уже существуют определенные административные структуры, которые могут играть роль RA.

  • Выпускающий CRL - необязательный компонент, которому СА делегирует функции опубликования списков отмененных сертификатов.
  • Certificate Policy (CP) – политика сертификата – поименованное множество правил, которое определяет применимость сертификата открытого ключа для конкретного сообщества или класса приложений с общими требованиями безопасности. Например, конкретная политика сертификата может указывать применимость типа сертификата открытого ключа для аутентификации транзакций данных при торговле товарами в данном ценовом диапазоне.
  • Certificate Practice Statement (CPS) – регламент сертификационной практики, в соответствии с которой сотрудники удостоверяющего центра выпускают сертификаты открытого ключа.
  • Relying party (RP) – проверяющая сторона – пользователь или агент (например, клиент или сервер), который использует сертификат для надежного получения открытого ключа субъекта и, быть может, некоторой дополнительной информации.
  • Root CA – СА, которому непосредственно доверяет ЕЕ; это означает безопасное приобретение значения открытого ключа корневого СА, требующее некоторых внешних шагов.




    - Начало -  - Назад -  - Вперед -