Книга: Инфраструктуры открытых ключей

Анализ реальных возможностей функциональной совместимости

Поставщики программных средств могут законно заявлять о соответствии своих продуктов стандартам, но по ряду причин не всегда реально может достигаться функциональная совместимость продуктов нескольких поставщиков. Для организации очень существенны понимание этих причин и гарантии, что выбранные поставщики будут совместно решать проблемы функциональной совместимости.

Формат X.509 или альтернативные форматы сертификатов

Как известно (см. лекцию 6), помимо формата X.509 существуют и альтернативные форматы сертификатов. Неудивительно, что имеются сторонники каждого формата. Так, например, сторонники формата SPKI утверждают, что сертификаты SPKI позволяют фиксировать роли и права авторизации, не раскрывая идентичность субъектов. Сторонники формата PGP или Open PGP считают важным преимуществом большую гибкость сертификатов PGP по сравнению с сертификатами открытых ключей X.509 v3 и, следовательно, большую пригодность для установления отношений доверия между субъектами. Однако пока большинство поставщиков PKI поддерживают только сертификаты X.509.

В будущем, возможно, получат распространение форматы сертификатов, основанные на языке разметки XML (eXtensible Markup Language) >[66], который все чаще применяется в качестве формата для обмена информацией между разными приложениями в Интернете >[44]. Новые форматы сертификатов, определенные техническим комитетом по сервисам безопасности OASIS в спецификации языка Security Assertion Markup Language (SAML) >[95], вероятно, будут использоваться сообществом разработчиков бизнес-приложений на базе XML. Такие форматы могут заменить сертификаты X.509 на уровне XML -приложений, но, скорее всего, будут сосуществовать вместе с ними на другом уровне, для того чтобы осуществлялось взаимодействие с другими действующими инфраструктурами. Среда для такого взаимодействия может базироваться на спецификации управления ключами XML Key Management Specification >[129], чтобы, как определено Консорциумом World Wide Web Consortium (W3C), скрывать от XML -приложения детали базовой PKI стандарта X.509.

Профили сертификатов и списки САС

Даже когда адаптируются технологии, основанные на стандартах, реализации PKI варьируются в зависимости от типа домена доверия. Это касается сертификатов и списков САС формата X.509. Для удовлетворения специфических требований разных доменов создаются разные профили сертификатов и списков САС. Для развертывания PKI важно выбрать поставщика технологии, который предлагает процедуру генерации сертификатов и списков САС, позволяющую учитывать требования многих профилей сертификатов и списков САС.

PKI-совместимые приложения

Чтобы приложение могло использовать необходимые сервисы безопасности и функции управления жизненным циклом ключей и сертификатов, оно должно быть PKI-совместимым. Поставщики технологии должны предлагать стандартные PKI-совместимые приложения, а также определенные инструментальные средства, предназначенные для интеграции в PKI других приложений.

Оглавление книги