Как называется стандарт инфраструктуры открытых ключей для работы с цифровыми сертификатами

Схема инфраструктуры открытого ключа

А инфраструктура открытого ключа (PKI) представляет собой набор ролей, политик, оборудования, программного обеспечения и процедур, необходимых для создания, управления, распространения, использования, хранения и отзыва цифровые сертификаты и управлять шифрование с открытым ключом. Цель PKI — облегчить безопасную электронную передачу информации для ряда сетевых операций, таких как электронная коммерция, интернет-банкинг и конфиденциальная электронная почта. Это требуется для действий, когда простые пароли являются неадекватным методом аутентификации и требуются более строгие доказательства для подтверждения личности сторон, участвующих в обмене данными, и для подтверждения передаваемой информации.

В криптография, PKI — это устройство, которое связывает открытые ключи с соответствующими идентификаторами сущностей (например, людей и организаций). Привязка устанавливается в процессе регистрации и выдачи сертификатов в центр сертификации (CA). В зависимости от уровня гарантии привязки это может выполняться автоматизированным процессом или под контролем человека.

Объект должен быть однозначно идентифицируемым в каждом домене CA на основе информации об этом объекте. Третья сторона орган проверки (VA) может предоставить информацию об этом объекте от имени CA.

Дизайн

  • А центр сертификации (CA), который хранит, выдает и подписывает цифровые сертификаты;
  • А регистрирующий орган (RA), который проверяет идентичность объектов, запрашивающих их цифровые сертификаты для хранения в ЦС;
  • А центральный каталог—Т.е. Безопасное место, в котором ключи хранятся и индексируются;
  • А система управления сертификатами управление такими вещами, как доступ к сохраненным сертификатам или доставка сертификатов, которые будут выпущены;
  • А политика сертификатов излагая требования PKI в отношении ее процедур. Его цель — позволить посторонним проанализировать надежность PKI.

Методы сертификации

В этой модели доверительных отношений ЦС является доверенной третьей стороной, которой доверяет как субъект (владелец) сертификата, так и сторона, полагающаяся на сертификат.

Временные сертификаты и единый вход

С сентября 2020 года срок действия сертификата TLS снижен до 13 месяцев.

Альтернативным подходом к проблеме публичной аутентификации информации с открытым ключом является схема доверительного интернета, в которой используются самоподписанные. сертификаты и сторонние подтверждения этих сертификатов. Единичный термин «сеть доверия» не подразумевает существование единой сети доверия или общей точки доверия, а, скорее, одной из любого числа потенциально непересекающихся «сетей доверия». Примеры реализации этого подхода: PGP (Довольно хорошая конфиденциальность) и GnuPG (реализация OpenPGP, стандартизированная спецификация PGP). Поскольку PGP и его реализации позволяют использовать электронное письмо цифровые подписи для самостоятельной публикации информации с открытым ключом, относительно легко реализовать собственную сеть доверия.

Концепция сети доверия была впервые предложена создателем PGP. Фил Циммерманн в 1992 г. в руководстве для PGP версии 2.0:

Со временем вы будете накапливать ключи от других людей, которых, возможно, захотите назначить надежными посредниками. Все остальные выберут своих доверенных представителей. И каждый будет постепенно накапливать и распространять со своим ключом коллекцию удостоверяющих подписей от других людей, ожидая, что любой, кто ее получит, будет доверять хотя бы одной или двум подписям. Это вызовет появление децентрализованной отказоустойчивой сети доверия для всех открытых ключей.

Простая инфраструктура открытого ключа

Вот список известных PKI на основе блокчейна:

История

Публичное раскрытие как безопасных обмен ключами и асимметричные ключевые алгоритмы в 1976 г. Диффи, Хеллман, Ривест, Шамир, и Адлеман полностью изменили защищенную связь. С дальнейшим развитием высокоскоростной цифровой электронной связи ( Интернет и его предшественники), стала очевидной необходимость в способах безопасного взаимодействия пользователей друг с другом и, как дальнейшее следствие этого, в способах, с помощью которых пользователи могли быть уверены, с кем они фактически взаимодействуют.

Были изобретены и проанализированы различные криптографические протоколы, в рамках которых были разработаны новые криптографические примитивы можно было эффективно использовать. С изобретением Всемирная паутина и его быстрое распространение, потребность в аутентификации и безопасной связи стала еще более острой. Только по коммерческим причинам (например, электронная коммерция, онлайн-доступ к собственным базам данных из веб-браузеры ) были достаточными. Тахер Эльгамал и другие на Netscape разработал SSL протокол (‘https ‘в Интернете URL-адреса ); он включал установление ключа, аутентификацию сервера (до v3, только одностороннюю) и так далее. Таким образом, была создана структура PKI для веб-пользователей / сайтов, желающих безопасного обмена данными.

Продавцы и предприниматели увидели возможность большого рынка, основали компании (или новые проекты в существующих компаниях) и начали агитировать за юридическое признание и защиту от ответственности. An Американская ассоциация адвокатов технологический проект опубликовал обширный анализ некоторых предполагаемых юридических аспектов операций PKI (см. Рекомендации ABA по цифровой подписи ), а вскоре после этого несколько штатов США (Юта будучи первым в 1995 году) и другие юрисдикции по всему миру начали принимать законы и постановления. Группы потребителей подняли вопросы о Конфиденциальность, доступа и ответственности, которые в одних юрисдикциях учитывались больше, чем в других.

Принятые законы и постановления различались, возникали технические и эксплуатационные проблемы при преобразовании схем PKI в успешную коммерческую эксплуатацию, и прогресс шел гораздо медленнее, чем предполагали пионеры.

К первым нескольким годам 21-го века базовую криптографическую инженерию было явно нелегко правильно развернуть. Рабочие процедуры (ручные или автоматические) было нелегко правильно спроектировать (или даже если они так спроектированы, чтобы выполнить безупречно, как того требовала инженерия). Существовавших стандартов было недостаточно.

Использует

PKI того или иного типа и от любого из нескольких поставщиков имеют множество применений, включая предоставление открытых ключей и привязок к идентификаторам пользователей, которые используются для:

  • Шифрование и / или отправитель аутентификация из электронное письмо сообщения (например, используя OpenPGP или S / MIME );
  • Шифрование и / или аутентификация документов (например, Подпись XML или XML-шифрование стандарты, если документы закодированы как XML );
  • Аутентификация пользователей в приложения (например, интеллектуальная карточка вход в систему, аутентификация клиента с SSL ). Есть экспериментальное использование для цифровой подписи HTTP аутентификация в Enigform и mod_openpgp проекты;
  • Начальная загрузка безопасные протоколы связи, такие как Обмен ключами в Интернете (IKE) и SSL. В обоих случаях начальная настройка безопасного канала («ассоциация безопасности «) использует асимметричный ключ — то есть, открытый ключ — методы, тогда как при фактическом общении используются более быстрые симметричный ключ —Т.е., Секретный ключ — методы;
  • Интернет вещей требует безопасного взаимодействия между взаимно доверенными устройствами. Инфраструктура открытого ключа позволяет устройствам получать и обновлять сертификаты X509, которые используются для установления доверия между устройствами и шифрования связи с использованием TLS.
Читать также:  Бланк международный медицинский сертификат для моряков скачать

Реализации с открытым исходным кодом

  • OpenSSL это простейшая форма CA и инструмент для PKI. Это инструментарий, разработанный на C, который включен во все основные Linux дистрибутивов и может использоваться как для создания собственного (простого) центра сертификации, так и для приложений с поддержкой PKI. (Лицензированный Apache )
  • EJBCA это полнофункциональная реализация CA корпоративного уровня, разработанная в Ява. Его можно использовать для настройки центра сертификации как для внутреннего использования, так и в качестве услуги. (Лицензия LGPL )
  • OpenCA — это полнофункциональная реализация CA с использованием ряда различных инструментов. OpenCA использует OpenSSL для основных операций PKI.
  • XCA представляет собой графический интерфейс и базу данных. XCA использует OpenSSL для основных операций PKI.
  • (Снято с производства) TinyCA был графическим интерфейсом для OpenSSL.
  • IoT_pki это простой PKI, построенный с использованием Python библиотека криптографии
  • Солдатский жетон это полнофункциональный центр сертификации, разработанный и поддерживаемый как часть Проект Fedora.
  • Либерметик это автономная система инфраструктуры с открытым ключом, встроенная в C-язык библиотека. Герметик использует LibSodium для всех криптографических операций, и SQLite для всех операций сохранения данных. Программное обеспечение Открытый исходный код и выпущен под Лицензия ISC.

Введение

PKI


Public key infrastructure

Инфраструктура открытых ключей (ИОК) — набор средств
(технических, материальных, людских и т. д.), распределённых служб и
компонентов, в совокупности используемых для поддержки криптозадач на основе
закрытого и открытого ключей.

В основе PKI лежит использование криптографической системы с открытым ключом и
несколько основных принципов:

  • закрытый ключ (private key) известен только его владельцу;
  • удостоверяющий центр создает электронный документ — сертификат открытого ключа,
    таким образом удостоверяя факт того, что закрытый (секретный) ключ известен
    эксклюзивно владельцу этого сертификата, открытый ключ (public key) свободно
    передается в сертификате;
  • никто не доверяет друг другу, но все доверяют удостоверяющему центру;
  • удостоверяющий центр подтверждает или опровергает принадлежность открытого ключа
    заданному лицу, которое владеет соответствующим закрытым ключом.

Начало асимметричным шифрам было положено в работе «Новые направления в современной криптографии»
Уитфилда Диффи и Мартина Хеллмана, опубликованной в 1976 году.

Находясь под влиянием работы Ральфа Меркле (англ. Ralph Merkle) о распространении открытого ключа,
они предложили метод получения секретных ключей, используя открытый канал.

Этот метод экспоненциального обмена ключей, который стал известен как обмен ключами Диффи — Хеллмана,
был первым опубликованным практичным методом для установления разделения секретного ключа между
заверенными пользователями канала.

В 2002 году Хеллман предложил называть данный алгоритм «Диффи — Хеллмана — Меркле», признавая вклад
Меркле в изобретение криптографии с открытым ключом.

Эта же схема была разработана Малькольмом Вильямсоном в 1970-х, но держалась в секрете до 1997 г.
Метод Меркле по распространению открытого ключа был изобретён в 1974 и опубликован в 1978 году,
его также называют загадкой Меркле.

В 1977 году учёными Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом из Массачусетского
технологического института был разработан алгоритм шифрования, основанный на проблеме о разложении
на множители. Система была названа по первым буквам их фамилий (RSA — Rivest, Shamir, Adleman).

Эта же система была изобретена в 1973 году Клиффордом Коксом (англ. Clifford Cocks), работавшим в
центре правительственной связи (GCHQ), но эта работа хранилась лишь во внутренних документах центра, поэтому о её существовании было неизвестно до 1977 года. RSA стал первым алгоритмом, пригодным и для шифрования, и для электронной подписи.

Основные компоненты PKI

  • Удостоверяющий центр он же и центр сертификации (УЦ или CA — Certificate Authority)
    является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и
    конечных пользователей. УЦ является главным компонентом PKI:

    он является доверенной третьей стороной

    это сервер, который осуществляет управление жизненным циклом сертификатов (но не их непосредственным использованием).

  • он является доверенной третьей стороной
  • это сервер, который осуществляет управление жизненным циклом сертификатов (но не их непосредственным использованием).
  • Сертификат открытого ключа (чаще всего просто сертификат) — это данные пользователя/сервера и его открытый ключ, скреплённые электронной подписью удостоверяющего центра. Выпуская сертификат открытого ключа, удостоверяющий центр тем самым подтверждает, что лицо, поименованное в сертификате, владеет закрытым ключом, который соответствует этому открытому ключу.
  • Регистрационный центр (РЦ) — необязательный компонент системы, предназначенный для регистрации пользователей. Удостоверяющий центр доверяет регистрационному центру проверку информации о субъекте. Регистрационный центр, проверив правильность информации, подписывает её своим ключом и передаёт удостоверяющему центру, который, проверив ключ регистрационного центра, выписывает сертификат. Один регистрационный центр может работать с несколькими удостоверяющими центрами (то есть состоять в нескольких PKI), один удостоверяющий центр может работать с несколькими регистрационными центрами. Иногда, удостоверяющий центр выполняет функции регистрационного центра.
  • Репозиторий — хранилище, содержащее сертификаты и

    списки отозванных сертификатов

    (СОС) и служащее для распространения этих объектов среди пользователей. В Федеральном Законе РФ № 63 «Об электронной подписи» он называется реестр сертификатов ключей подписей.

  • Архив сертификатов — хранилище всех изданных когда-либо сертификатов (включая сертификаты с закончившимся сроком действия). Архив используется для проверки подлинности электронной подписи, которой заверялись документы.
  • Центр запросов — необязательный компонент системы, где конечные пользователи могут запросить или отозвать сертификат.
  • Конечные пользователи — пользователи, приложения или системы, являющиеся владельцами сертификата и использующие инфраструктуру управления открытыми ключами.

Основные задачи

Основные задачи системы информационной безопасности, которые решает инфраструктура управления открытыми ключами:

  • обеспечение конфиденциальности информации;
  • обеспечение целостности информации;
  • обеспечение аутентификации пользователей и ресурсов, к которым обращаются пользователи;
  • обеспечение возможности подтверждения совершенных пользователями действий с информацией (неотказуемость/неотрекаемость — англ. non-repudiation).

Данные шифруются для того, чтобы контролировать кто может их читать.

Если зашифровать данные закрытым (private) ключом, то все у кого есть открытый (public) ключ
смогут их читать.

Данные подписываются для того, чтобы все знали, что они пришли от нас.

Если подписать данные открытым (public) ключом, то понять, что они пришли от нас
сможет только владелец закрытого (private) ключа.

Данные шифруются открытым ключом и расшифровываются закрытым ключом.

Данные подписываются закрытым ключом и верифицируются открытым ключом.

После того как пара ключей сгенерирована, нужно создать сертификат и подписать его в УЦ,
чтобы другие пользователи могли ему доверять.

Первым делом отправляется запрос на подпись сертификата (certificate signing request)

В сертификат войдёт наш открытый (public) ключ, информация о том кто мы такие а также
какая-то дополнительная информация (extensions).

Информация о том, кто мы такие должна быть записана в формате (distinguished name).

Сертификат должен быть подписан нашим закрытым (private) ключом.

Стандарты в области PKI

Стандарты играют существенную роль в развертывании и использовании PKI. Стандартизация в этой сфере позволяет разным приложениям взаимодействовать между собой с использованием единой PKI . Стандарты в области PKI можно разбить на четыре группы, каждая из которых относится к определенному технологическому сегменту, необходимому для создания PKI.

К первой группе () можно отнести стандарты серии X, подготовленные Международным Союзом по телекоммуникациям — ITU (International Telecommunications Union), и стандарты Международной организации стандартизации — ISO (International Organization for Standardization), относящиеся к PKI . Они признаны в международном масштабе, содержат описания концепций, моделей и сервиса каталога (X.500) и формализуют процедуру аутентификации (X.509). Стандарт X.509 первоначально предназначался для спецификации аутентификации при использовании в составе сервисов каталога X.500. С течением времени X.509 претерпел ряд изменений, и его последняя (третья) версия была стандартизована группой инженерной поддержки Интернета — Internet Engineering Task Force (IETF).
Документ X.509 регулирует хранение информации в каталоге и получение данных аутентификации. Он характеризует криптосистему с открытым ключом как метод сильной аутентификации, который базируется на создании, управлении и свободном доступе к сертификату, связывающему субъекта (пользователя) с его открытым ключом. Синтаксис сертификатов формата Х.509 выражается с помощью особой нотации, так называемой абстрактной синтаксической нотации версии 1 (Abstract Syntax Notation One — ASN.1), которая была предложена комитетом разработчиков стандартов взаимодействия открытых систем OSI (Open System Interconnection) для использования с протоколами X.500. ASN.1 описывает синтаксис различных структур данных, вводя примитивные объекты и средства описания их комбинаций . Форматы электронного сертификата и САС, предложенные X.509, фактически признаны стандартом и получили всеобщее распространение независимо от X.500.
Как показало время, наиболее ценной в стандарте X.509 оказалась не сама процедура, а ее служебный элемент — структура сертификата, содержащая имя пользователя, криптографические ключи и сопутствующую информацию .

Abstract Syntax Notation (ASN.1)

Object Identifiers (OIDs)

Directory Services (X.509)

Таблица 15.1.I группа стандартов

Стандарты второй группы () разработаны основным центром по выпуску согласованных стандартов в области PKI — рабочей группой организации IETF, известной как группа PKIX (от сокращения PKI for X.509 certificates) . Документы PKIX определяют политику применения сертификатов и структуру регламента УЦ, форматы, алгоритмы и идентификаторы сертификата и САС X.509, схему поддержки PKIX в среде LDAP v2, форматы атрибутных сертификатов и сертификатов ограниченного пользования, описывают протоколы статуса сертификатов, запроса на сертификацию, проставления метки времени, эксплуатационные протоколы PKI.

Третью группу образуют стандарты криптографии с открытыми ключами PKCS (Public Key Cryptography Standards), разработанные компанией RSA Security Inc. совместно с неофициальным консорциумом, в состав которого входили компании Apple, Microsoft, DEC, Lotus, Sun и MIT. Документы PKCS признаны симпозиумом разработчиков стандартов взаимодействия открытых систем методом реализации стандартов OSI (Open System Interconnection). Стандарты PKCS () обеспечивают поддержку криптографических процессов при выполнении защищенного шифрованием информационного обмена между субъектами. Стандарты PKCS ориентированы на двоичные и ASCII-данные и совместимы со стандартом ITU-T X.509. В PKCS входят алгоритмически зависимые и независимые реализации стандартов . Многие из них опираются на систему шифрования с открытыми ключами RSA,
названную по инициалам авторов Ривеста, Шамира и Адльмана, метод эллиптических кривых и метод согласования ключей Диффи-Хэллмана, подробно описанные в трех соответствующих криптографических стандартах.

Certificate Management Protocols (CMP)

Certificate Request Protocol

Certificate Policy and Certification

LDAP V2 Operational Protocols

Online Certificate Status Protocol (OCSP)

LDAP V2 Schema

Certificate Management Messages over

Data Validation and Certification

Qualified Certificates Profile

Time-Stamp Protocol (TSP)

Algorithms and Identifiers for the

Internet X.509 Public Key

Infrastructure Certificate and

Certificate Revocation List (CRL) Profile

Certificate & CRL Profile

An Internet Attribute Certificate

Profile for Authorization

Таблица 15.2.II группа стандартов

Примечание:Стандарты PKCS #2 and PKCS #4 были объединены в PKCS #1

Diffie-Hellman Key Agreement

Cryptographic Message Syntax

Private-Key Information Syntax

Selected Attribute Types

Certification Request Syntax

Cryptographic Token Interface (Cryptoki)

Personal Information Exchange Syntax

Elliptic Curve Cryptography

Cryptographic Token Information Format

Таблица 15.3.III группа стандартов

Кроме того, стандарты PKCS определяют алгоритмически независимый синтаксис криптографических сообщений, данных секретного ключа, запросов на сертификацию, расширенных сертификатов, обмена персональными данными пользователя, что позволяет реализовать любой криптографический алгоритм в соответствии со стандартным синтаксисом и обеспечить взаимодействие самых разных приложений. Большинство стандартов, использующих криптографию, разработано с учетом применения PKI.

В четвертую группу объединены дополнительные связанные с PKI стандарты LDAP, S/MIME, S/HTTP, TLS, IPsec, DNS и SET (). Стандарты LDAP описывают упрощенный протокол доступа, позволяющий вводить, удалять, изменять и извлекать информацию, которая содержится в каталогах X.500. В настоящее время LDAP является стандартным методом доступа к информации сетевых каталогов и играет важную роль во множестве продуктов, таких как системы аутентификации, PKI, приложения электронной почты и электронной коммерции.

Стандарты S/MIME (Secure/Multipurpose Internet Mail Extensions) предназначены для обеспечения защищенного обмена сообщениями в Интернете. Протокол защищенной электронной почты S/MIME базируется на технологии шифрования и цифровой подписи, разработанной компанией RSA Security Inc., и используется для предупреждения возможного перехвата или подделки почтовых сообщений . Семейство стандартов S/MIME описывает синтаксис криптографических сообщений, управление сертификатами в среде S/MIME, процедуры и атрибуты дополнительных сервисов безопасности для почтовых приложений, к которым относятся заверенные цифровой подписью уведомления о приеме сообщений, метки безопасности и защищенные списки рассылки электронной почты.

К стандартам S/HTTP и TLS относятся документы, определяющие защищенный протокол передачи гипертекста HTTP и его расширения, протокол безопасности транспортного уровня TLS, его модификацию и использование в среде HTTP. TLS — открытый стандарт, разработанный на базе протокола защищенного обмена информацией между клиентом и сервером SSL (Secure Sockets Layer) в качестве его замены для защиты коммуникаций в Интернете. Протокол TLS обеспечивает конфиденциальность и целостность данных при коммуникации двух приложений и позволяет приложениям «клиент-сервер» взаимодействовать защищенным способом, предотвращающим перехват информации и подделку сообщений. Для взаимной аутентификации перед началом информационного взаимодействия приложениями используется технология PKI.

RFC 1777: Lightweight Directory Access

RFC 1823: The LDAP Application Program

RFC 2251: Lightweight Directory Access

RFC 2252: Lightweight Directory Access

Protocol (v3): Attribute definition

RFC 2253: Lightweight Directory Access

Protocol (v3): UTF-8 String

Representation of Distinguished Names

RFC 2254: Lightweight Directory Access

Protocol (v3) The String

Representation of LDAP Search Filters

RFC 2255: Lightweight Directory Access

Protocol (v3) The LDAP URL Format

S/MIME Version 2 Message Specification

S/MIMEv2 Certificate Handling

Cryptographic Message Syntax (CMS)

S/MIME V3 Certificate Handling

S/MIME V3 Message Specification

Enhanced Security Services for S/MIME

Methods for Avoiding the «Small-

Subgroup» Attacks on the Diffie-Hellman

Key Agreement Method for S/MIME

RFC 3369 S/MIME Cryptographic Message

TLS Protocol Version 1.0

Security Extensions For HTML

The Secure HyperText Transfer Protocol

Upgrading to TLS Within HTTP

HTTP Over TLS

Security Architecture for the Internet

IP Authentication Header

IP Encapsulating Security Payload (ESP)

Internet Security Association and Key

Management Protocol (ISAKMP)

Secure Domain Name System Dynamic Update

Domain Name System Security Extensions

DSA KEYs and SIGs in the Domain Name

RSA/MD5 KEYs and SIGs in the Domain

Storing Certificates in the Domain

Storage of Diffie-Hellman Keys in the

Detached Domain Name System Information

DNS Security Operational Considerations

Secure Electronic Transaction

Specification The Business Description

The Specification Programmer’s Guide

Specification Formal Protocol Definition

Таблица 15.4.IV группа стандартов

Рис. 15.1.
 Взаимосвязь стандартов в области PKI

Стандарты семейства IPsec описывают архитектуру безопасности Интернет-протоколов (IP), регламентируют контроль целостности на уровне IP-пакетов, аутентификацию источника данных и защиту от воспроизведения ранее посланных IP-пакетов, обеспечение конфиденциальности при помощи шифрования содержимого IP-пакетов, а также частичную защиту от анализа трафика путем применения туннельного режима . Документы RFC, относящиеся к IPsec, содержат описания протокола аутентифицирующего заголовка, протокола инкапсулирующей защиты содержимого IP-пакетов и протокола управления ключами и контекстами безопасности. Стандарты IPsec обеспечивают конфиденциальность, целостность и достоверность данных, передаваемых через открытые IP-сети.

Стандарты DNS определяют механизмы, обеспечивающие безопасность данных инфраструктуры системы доменных имен DNS. Документы описывают операционные требования безопасности системы, методы хранения сертификатов и ключей Диффи-Хэллмана, динамическое обновление защищенной системы DNS, механизм защиты передаваемых данных с помощью алгоритма MD5, DSA и RSA-ключей и цифровых подписей. Для обеспечения достоверной передачи DNS-данных в масштабе Интернета в систему DNS вводятся расширения DNSSEC, задаваемые соответствующим стандартом.

Спецификация SET предлагает инфраструктуру для защиты от подделок платежных карт, используемых для транзакций электронной коммерции в Интернете, описывает систему аутентификации участников расчетов, которая базируется на PKI . Принципы SET излагаются в трех книгах, содержащих сведения о правилах ведения бизнеса на базе защищенных электронных транзакций, руководство программиста и формальное описание протокола SET. иллюстрирует взаимосвязь стандартов в области PKI .

Итак, базой для разработки стандартов в области PKI стали стандарты серии X.500 (хотя не все их наименования начинаются с X.5xx) Международного союза электросвязи (ITU), предложившие стандартную структуру баз данных, записи в которых содержали информацию о пользователях . Стандарт X.509 ITU-T является фундаментальным стандартом, который лежит в основе всех остальных, используемых в PKI. Однако X.509 ITU-T не описывает полностью технологию PKI. В целях применения стандартов X.509 в повседневной практике комитеты по стандартизации, пользователи, поставщики программных продуктов и сервисов PKI обращаются к семейству стандартов PKIX.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *