Книга: Введение в криптографию

Мета-поручители и доверенные поручители

Мета-поручители и доверенные поручители

В большинстве случаев пользователи полностью полагаются на ЦС в проверке подлинности сертификатов. Иными словами, пользователи убеждены, что ЦС провёл всю механическую процедуру проверки за них, и уверены в его поручительствах за подлинность заверенных им сертификатов. Такая схема работает только до некоторого предела в количестве пользователей PKI, перейдя который ЦС не сможет придерживаться прежнего уровня тщательности процедуры проверки. В этом случае становится необходимым добавление в систему дополнительных"поручителей".

ЦС также может быть мета-поручителем. Мета-поручитель не только сам заверяет ключи, но предоставляет и другим лицам (организациям) полномочия заверения. По аналогии с тем, как король передаёт свою личную печать или факсимиле приближённым советникам, чтобы те могли действовать от его имени, так и мета-поручитель уполномочивает других действовать в качестве доверенных поручителей. Эти доверенные поручители могут удостоверять ключи с тем же результатом, что и мета-поручитель. Однако, они не могут создавать новых доверенных поручителей.

"Мета-поручитель" и "доверенный поручитель" — это термины PGP. В среде Х.509 мета-поручитель называется корневым центром сертификации(root CA), а доверенные поручители — подчинёнными, или промежуточными, центрами сертификации(subordinate CAs, intermediate CAs).

Корневой ЦС для подписания ключей использует закрытый ключ, связанный с особым типом сертификата, называемым корневым сертификатом ЦС. Любой сертификат, подписанный корневым ключом ЦС, становится достоверным любому другому сертификату, подписанному корневым. Такой процесс удостоверения действует даже для сертификатов, подписанных другим ЦС в [связанной] системе — если ключ промежуточного ЦС подписан ключом корневого ЦС, любой сертификат подписанный первым расценивается верным в пределах иерархии. Этот процесс отслеживания вдоль ветвей иерархии того, кто подписал какие сертификаты, называется отслеживанием пути, или цепи, сертификатов.

Оглавление книги


Генерация: 0.592. Запросов К БД/Cache: 3 / 1
поделиться
Вверх Вниз