Стандарт X.509 © Учебный Центр безопасности информационных технологий

Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Содержание лекции Исторические сведения о стандарте Х.509 Структура сертификата X.509 Дополнения сертификата X.509v3 Структура списка отозванных сертификатов X.509 Дополнения списка отозванных сертификатов CRLv2 Альтернативные стандарты Библиография Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

История стандарта X.509 1978. Вводится понятие сертификата (Kohnfelder, BS EE Thesis, MIT) 1988. X.509v1. Вводится понятие сертификата в контексте протокола аутентификации X.509. 1993. X.509v2. Индексация сертификата по ID открытого ключа. 1996. X.509v3. Появление дополнений в сертификате. 1999. IETF PKIX group (RFC2459) 2000. X.509v4. PMI – инфраструктура управления привилегиями Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Структура сертификата X.509v3 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

.pem - (Privacy Enhanced Mail) Base64 encoded DER certificate, enclosed between "-----BEGIN CERTIFICATE-----" and "-----END CERTIFICATE-----" .cer, .crt, .der - usually in binary DER form, but Base64-encoded certificates are common too (see .pem above) .p7b, .p7c - PKCS#7 SignedData structure without data, just certificate(s) or CRL(s) .p12 -PKCS#12, may contain certificate(s) (public) and private keys (password protected) .pfx - PFX, predecessor of PKCS#12 (usually contains data in PKCS#12 format, e.g, with PFX files generated in IIS) Структура сертификата X.509v3 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Certificate Version Serial Number Algorithm ID Issuer Validity Not Before Not After Subject Subject Public Key Info Public Key Algorithm Subject Public Key Issuer Unique Identifier (Optional) Subject Unique Identifier (Optional) Extensions (Optional) ... Certificate Signature Algorithm Certificate Signature Thumbnail* Структура сертификата X.509v3 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

DER и ASN.1 DER - Distinguished Encoding Rules Синтаксис передачи сообщений, специфицированный в стандарте X.690 X.690 – ASN.1 (Abstract Syntax Notation One) CCITT X.409:1984 (1984) → X.208 (1988) → X.680 (1995-2002) Часть ASN.1 (X.680 – X.683, X.690 – X.694) Подмножество ASN.1 BER (Basic Encoding Rules) Синтаксис вида Type-Length-Element (TVL) В России ASN.1 стандартизирован по ГОСТ Р ИСО/МЭК 8824-1-2001 и ГОСТ Р ИСО/МЭК 8825-93 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

DER - Distinguished Encoding Rules Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 FooProtocol DEFINITIONS ::= BEGIN FooQuestion ::= SEQUENCE { trackingNumber INTEGER, question IA5String } FooAnswer ::= SEQUENCE { questionNumber INTEGER, answer BOOLEAN } END © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

DER - Distinguished Encoding Rules Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 myQuestion FooQuestion ::= { trackingNumber 5, question "Anybody there?" } © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

DER - Distinguished Encoding Rules Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 41 6e 79 62 6f 64 79 20 74 68 65 72 65 3f – value ("Anybody there?" in ASCII) 30 -- tag indicating SEQUENCE 13 -- length in octets 02 -- tag indicating INTEGER 01 -- length in octets 05 -- value 16 -- tag indicating IA5String 0e -- length in octets 30 13 02 01 05 16 0e 41 6e 79 62 6f 64 79 20 74 68 65 72 65 3f © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Дополнения X.509v3 Дополнение – механизм снабжения открытого ключа дополнительной информацией, необходимой для его использования Виды дополнений Стандартные: определены в рамках стандарта X.509 Специальные: определяются разработчиками прикладных систем для служебных целей Пользовательские: определяются конечным пользователем прикладной системы Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Пользовательские дополнения Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 Определяются: пользователем Содержат: Идентификатор дополнения (OID) Любую значимую для пользователя информацию в виде последовательности байт 1.3.6.1.4.1.NNN. n.k Идентификатор дополнения Идентификатор организации (Private Enterprise Number) © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Уникальный иерархический идентификатор с использованием нотации ITU-T ASN.1 Вид: _._._._._._._ Начинается с: 0 – ITU-T 1 – ISO 2 ITU-T/ISO Примеры 1.2.840 – назначен iso (1) стране-участнику (2) США (840) 1.3.6.1 – Интернет Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 Object Identifier (OID) © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Стандартные дополнения Определяются: стандартом X.509 Включают: Информацию о ключе и политике Уникальный идентификатор ключа издателя/владельца Область использования ключа Срок действия секретного ключа Регламент использования ключа Отображение регламентов использования ключа Информацию об издателе и владельце Ограничения на цепочку сертификатов Информацию о статусе сертификата Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Уникальный идентификатор ключа Уникальный идентификатор ключа однозначным образом идентифицирует открытый ключ при наличии у субъекта нескольких одновременно действующих открытых ключей. 1. Идентификатор ключа владельца (SKID) – результат применения хэш-функции к содержимому открытого ключа 2. Идентификатор ключа издателя (AKID) – результат применения хэш-функции к содержимому открытого ключа либо ссылка на сертификат издателя открытого ключа Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Область использования ключа Область использования ключа определяет семантику использования открытого ключа в приложениях 1. Область использования ключа (key usage) Цифровая подпись данных Шифрование данных Шифрование ключей и т.п. 2. Расширенная область использования ключа (extended key usage) Защищенная электронная почта SSL-аутентификация клиента SSL-аутентификация сервера и т. п. Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Кафедра Безопасности Информационных Систем, 2009 - 2010 Санкт-Петербургского государственного университета аэрокосмического приборостроения

Регламент использования ключа Регламентом сертификата называется поименованное множество правил, отражающих применимость сертификата к конкретной группе приложений с общими требованиями безопасности Содержит: идентификатор политики квалификаторы политики заметка пользователю (RFC2459) указатель на CPS (RFC2459) Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Информация об издателе и владельце Определяет: дополнительные атрибуты издателя/владельца, не включенные в DN Включает: Альтернативное имя издателя RFC822 X.400 URI IP DNS и т.п. Альтернативное имя владельца Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Ограничения на цепочку сертификатов Определяет: уровень доверия в цепочках сертификатов Включает: Основные ограничения: ограничения на длину цепочки сертификации Ограничения имен: ограничения на пространство имен, в котором осуществляется построение цепочки сертификации Ограничения политик: ограничения на регламент сертификатов, участвующих в цепочке Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Информация о статусе сертификата Определяет: локализацию и метод доступа к статусной информации Включает: Точки распространения списков отозванных сертификатов По содержимому CRL CRL, ARL По методу доступа LDAP, HTTP, FTP Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004

Структура списка отозванных сертификатов CRLv2 Технология PKI и ее реализация на платформе Microsoft .NET Лекция 4: Стандарт X.509 © Учебный Центр безопасности информационных технологий Microsoft Московского инженерно-физического института (государственного университета), 2004