Протоколы безопасного сетевого взаимодействия

Проверка сертификатов


Обычно при проверке подписи проверяющая сторона, помимо прочего, должна убедиться, что сертификат содержит открытый ключ подписавшего. Однако, поскольку допускается, что СА может изменить свой ключ, существует ряд новых возможностей, которые приведены в таблице 18.1.

Таблица 18.1. Выпуск нового сертификата СА

Репозиторий содержит новый и старый открытые ключиРепозиторий содержит только старый открытый ключ (например, задержка опубликования)
PSE содержит новый открытый ключPSE содержит старый открытый ключPSE содержит новый открытый ключPSE содержит старый открытый ключ
Сертификат подписавшего защищен с использованием нового открытого ключа

Случай 1:

Это стандартный случай, когда проверяющий может непосредственно проверить сертификат без использования директории

Случай 3:

В этом случае проверяющий должен иметь доступ к директории, чтобы получить значение нового открытого ключа

Случай 5:

Хотя оператор СА не изменил директорию, проверяющий может проверить сертификат непосредственно – аналогично случаю 1

Случай 7:

В этом случае оператор СА не изменил директорию, и проверка не проходит

Сертификат подписавшего защищен с использованием старого открытого ключа

Случай 2:

В этом случае проверяющий должен иметь доступ к директории, чтобы получить значение старого открытого ключа

Случай 4:

В этом случае проверяющий может непосредственно проверить сертификат без использования репозитория

Случай 6:

Проверяющий думает, что это ситуация случая 2 и хочет получить доступ к директории; однако проверка не проходит

Случай 8:

Хотя оператор СА не изменил директорию, проверяющий может проверить сертификат непосредственно – случай аналогичен случаю 4



Содержание раздела