23.04.2003 1:06:41PKI- вопрос Ответов: 7
Aver
Существуют стандарты, описывающие PKI (rfc 2459, 3280...), которые могут основываться на ldap директориях, DNS.. Подскажите, пожалуйста, как обстоит дело с применением этих стандартов на практике .

Существуют ли на сегодняшний день глобальные PKI (наподобие DNS)? Или только реализации в рамках отдельных организаций?

В связи с этим:
Всегда ли возможно построить сертификационный путь для полученного сертификата?
Можно ли осуществлять поиск сертификата, например для человека по указанию его личных данных?
Связаны ли между собой на сегодняшний день различные PKI?
Заранее огромное спасибо.
 
Ответы:
23.04.2003 11:11:17Uri
Вопрос на тему: есть ли жизнь на Марсе :-)
Ответ такой: есть решения (предлагаемые, развернутые, эксплуатируемые) построенные по технологии PKI. Существуют большие и маленькие относительно предоставляемых сервисов, количества пользователей, доступности средств обеспечения и т.д.
В то же время есть национальные стандарты и требования, определяемые нормативными и правовыми актами государства. Это создает границы для применения. Та же ситуация и в России. Например, есть VeriSign, который практически охватывает планету, но решения которого не достаточно удовлетворяют требованиям, предъявляемые законодательства России.
Все остальные Ваши вопросы зависят от конкретного технического решения, поэтому дать однозначный ответ не представляется возможным. Да и ответы мы можем давать только по нашим продуктам, на которых может быть построено решение в технологии PKI.
23.04.2003 11:52:48Aver
Не совсем на эту тему :))
Скорее так: на каком этапе находится развитие жизни на Марсе? :-)
Ответ: существует в отдельных местах :-)

Ответьте, пожалуйста, на два вопроса в рамках ваших продуктов.
Есть организация А, использующая PKI построенную на продуктах компании КРИПТО-ПРО.
Ей необходимо проверить валидность некоторого сертификата, выданного другой PKI организации Б.
Как в данном случае происходит получение сертификационного пути?
Обязательно ли хранение сертификата для PKI Б в PKI А, вообще, хранение всех кросс-сертификатов для других PKI в репозитории А ?

Такой же вопрос с поиском сертификатов по определенным требованиям. Если не найден сертификат в локальном репозитории, будет ли передаваться запрос на поиск в другие PKI?

Большое спасибо.
23.04.2003 12:45:38Uri
О, это уже вопрос в тему! :-)

Для того, что бы пользователи А и Б могли проверять друг у друга сертификата (например в ЭЦП), они должны обменяться сертификатами ЦС (сертификатами открытого ключа уполномоченного лица УЦ в терминах ФЗ 1) и поместить его в список доверенных корневых ЦС хранилища сертификатов на своем рабочем месте.
Для того, что бы построить цепочку сертификатов и определить статус доверия к каждому сертификату из цепочки, необходимо иметь:
1. сертификат подписи (обычно он прикладывается к ЭЦП)
2. сертификаты цепочки: корневого ЦС и пробежуточных ЦС (у нас они отдаются пользователю в момент регистрации его на УЦ)
3. CRL (у нас они ибо отдаются пользователю в момент регистрации его на УЦ либо могут быть получены по CDP из сертификата)

Сертификаты открытых ключей других пользователей, выданных данным УЦ, пользователь может получить либо из АРМ зарегистрированного пользователя либо из прикладной системы, которая может взаимодействовать с УЦ по API, построенному с использованием SOAP, либо из AD, если УЦ настроен в режим экспорта сертификатов в AD.

Сертификаты, изданные другими УЦ, пользователь может получить либо из AD либо из некого сетевого справочника, построеено на том же API, указанном выше. В любом случае, наш КриптоПро УЦ - это большой конструктор, который можно построить так как нуно :-)
23.04.2003 13:29:48Aver
Спасибо за ответы :)
Можно еще один вопрос по второму пункту:
Сертификаты цепочки должны статически находиться на УЦ (положенные, к примеру, администратором), или, при необходимости проверки по запросу пользователя, УЦ их получает динамически, затем передает пользователю?
Во втором случае, каким образом определяется следующий шаг в поиске ЦС?
23.04.2003 13:50:36Uri
Э-э-э, немного не то :-) Сертификаты для построения цепочки не находятся "статически" на УЦ а находятся и на УЦ и на рабочем месте пользователя. Т.е. обеспечивается режим offline-проверки сертификатов цепочки.
25.04.2003 11:54:07Aver annG@rambler.ru
Большое спасибо за ответы на вопросы.
28.04.2003 19:24:39Andris
Чем тебе не подходит VeriSign? Чем не глобальная система?
Софт распространяет микрософт, можешь найти в своём справочнике "корневые сертификаты".
Есть страхование.
Есть LDAP, всё как положено.

Есть мене локальные системы, в основном, крупных общественных организаций, американский министерств и агенств, крупных корпораций.

Техника, там LDAP и так делее - это примитивы, основное - это организация, продуманная ответственность, финансирование.