Ольга Полянская - Инфраструктуры открытых ключей

Рис. 3.1. Основные компоненты PKI

Удостоверяющий центр - главный управляющий компонент PKI - выполняет следующие основные функции:

*формирует собственный секретный ключ; если является головным УЦ , то издает и подписывает свой сертификат, называемый самоизданнымили самоподписанным;

*выпускает (то есть создает и подписывает) сертификаты открытых ключей подчиненных удостоверяющих центров и конечных субъектов PKI; может выпускать кросс-сертификаты, если связан отношениями доверия с другими PKI;

*поддерживает реестр сертификатов(базу всех изданных сертификатов) и формирует списки САС с регулярностью, определенной регламентом УЦ ;

*публикует информацию о статусе сертификатов и списков САС.

При необходимости УЦ может делегировать некоторые функции другим компонентам PKI. Выпуская сертификат открытого ключа , УЦ тем самым подтверждает, что лицо, указанное в сертификате, владеет секретным ключом, который соответствует этому открытому ключу. Включая в сертификат дополнительную информацию, УЦ подтверждает ее принадлежность этому субъекту. Дополнительная информация может быть контактной (например, адрес электронной почты) или содержать сведения о типах приложений, которые могут работать с данным сертификатом. Когда субъектом сертификата является другой УЦ , издатель подтверждает надежность выпущенных этим центром сертификатов.

Действия УЦ ограничены политикой применения сертификатов (ППС), которая определяет назначение и содержание сертификатов. УЦ выполняет адекватную защиту своего секретного ключа и открыто публикует свою политику, чтобы пользователи могли ознакомиться с назначением и правилами использования сертификатов. Ознакомившись с политикой применения сертификатов и решив, что доверяют УЦ и его деловым операциям, пользователи могут полагаться на сертификаты, выпущенные этим центром. Таким образом, в PKI удостоверяющие центры выступают как доверенная третья сторона.

Регистрационный центр (РЦ)является необязательным компонентом PKI. Обычно РЦ получает от удостоверяющего центра полномочия регистрировать пользователей, обеспечивать их взаимодействие с УЦ и проверять информацию, которая заносится в сертификат. Сертификат может содержать информацию, которая предоставлена субъектом, подающим заявку на сертификат и предъявляющим документ (паспорт, водительские права, чековую книжку и т.п.) или третьей стороной (например, кредитным агентством - о кредитном лимите пластиковой карты). Иногда в сертификат включается информация из отдела кадров или данные, характеризующие полномочия субъекта в компании (например, право подписи документов определенной категории). РЦ агрегирует эту информацию и предоставляет ее УЦ .

УЦ может работать с несколькими регистрационными центрами , в этом случае он поддерживает список аккредитованных регистрационных центров , то есть тех, которые признаны надежными. УЦ выдает сертификат РЦ и отличает его по имени и открытому ключу. РЦ выступает как объект, подчиненный УЦ , и должен адекватно защищать свой секретный ключ. Проверяя подпись РЦ на сообщении или документе, УЦ полагается на надежность предоставленной РЦ информации.

РЦ объединяет комплекс программного и аппаратного обеспечения и людей, работающих на нем. В функции РЦ может входить генерация и архивирование ключей, уведомление об аннулировании сертификатов, публикация сертификатов и САС в каталоге LDAP и др. Но РЦ не имеет полномочий выпускать сертификаты и списки аннулированных сертификатов. Иногда УЦ сам выполняет функции РЦ .

Репозиторий- специальный объект инфраструктуры открытых ключей, база данных, в которой хранится реестр сертификатов (термин " реестр сертификатов ключей подписей" введен в практику Законом РФ "Об электронной цифровой подписи") [10]. Репозиторий значительно упрощает управление системой и доступ к ресурсам. Он предоставляет информацию о статусе сертификатов, обеспечивает хранение и распространение сертификатов и САС, управляет внесениями изменений в сертификаты. К репозиторию предъявляются следующие требования: