Введение в PKI: различия между версиями

Содержимое удалено Содержимое добавлено
Строка 184:
* ''Как осуществляется взаимодействие между УЦ'': никак. В отдельных случаях пользователи (приложения) могут доверять нескольким раздельным УЦ, но это решение не является инфраструктурой.
 
=== Иерархическая инфраструктура подчинённых УЦ ===
В этой инфраструктуре УЦ находятся в древовидной зависимости: есть единый корневой УЦ, есть подчинённые (промежуточные) УЦ, есть конечные пользователи. Корневой сервер выпускает сертификаты для подчинённых серверов, которые в свою очередь выпускают сертификаты для нижестоящих серверов и/или пользователей.
 
Технически, корневой сервер может выпускать сертификаты для пользователей (схема, наподобие единственного УЦ), но, обычно, так не делают: корневой УЦ выписывает сертификаты ТОЛЬКО для подчинённых УЦ. Так как подчинённых УЦ обычно в разы (порядки, etc) меньше, чем пользователей, то использование корневого УЦ (а, значит, вероятность обшибки/компрометации) существенно меньше. Компрометация же ключа подчинённого УЦ обычно решается отзывом ключа "пострадавшего" (об отзыве ключей в следующих главах) - при этом почти никто не страдает (центр доверия - корневой УЦ как был так и остаётся). Единственными пострадавшими оказываются люди, чьи сертификаты оказались скомпрометированы (им нужно получить новые от нового УЦ).
 
Кажется, разницы в этом никакой? Ну был корневой, стал "второго уровня" - всё равно компрометация режет большую дыру в инфраструктуре (в случае одного УЦ - размером в инфраструктуру).
 
Тут есть большая разница: если компрометируется ключ промежуточного (подчинённого) УЦ, то при этом инфраструктура сохраняется: во-первых, не нужно менять доверенные сертификаты всюду, где им доверяли (по закону подлости их оказывается на 1-2 больше, чем число мест, где сертификат заменили). Во-вторых, нет никакого механизма оповещения о проблеме (только лично, по телефону или ножками...). В случае же компрометации промежуточного УЦ все во-первых оповещаются о том, что данные сертификаты перестали действовать, во-вторых нет необходимости что-то менять у проверяющих узлов. У тех же, у кого сертификаты перестанут приниматься, будет возможность запросить новые (т.е. пользователи явно получат уведомление о проблеме).
 
При этом компрометация ключа корневого УЦ означает ровно то же, что и в случае одиночного УЦ (даже больше, т.к. инфраструктура с несколькими УЦ обычно больше инфраструктуры с единственным УЦ) - полное уничтожение инфраструктуры с необходимостью вручную устранять все её следы (чтобы сервер, например, перестал принимать соединения от пользователей, чьи сертификаты подписаны скомпрометированным ключом, нужно вручную поменять конфигурацию сервера - и так с каждым сервером, маршрутизатором и т.д., не говоря уже про, например, финансовый отдел, который надо лично известить о том, что платёжные поручения, подписанные сертификатом из уничтоженного PKI больше принимать нельзя).
 
=== Множество независимых УЦ ===