Генерація та оновлення ключів. Публікація CRL

Date: 2015-10-07; view: 412.

З часом масштаб ІВК може істотно зрости. Очевидно, що розмаїтість практичних реалізацій ІВК не дозволяє запропонувати готове рішення підтримки масштабованості, проте, можна виділити «вузькі місця» функціонування системи, що впливають на її розширюваність:

а) генерація ключів;

б) збереження сертифікатів;

в) підтримка списків анульованих сертифікатів;

г) керування життєвим циклом сертифікатів і ключів.

Генерація пар ключів вимагає значних обчислювальних ресурсів; якщо вона виконується централізовано, то істотно збільшує робоче навантаження на сервер центру сертифікації тому, що паралельно з нею виконуються випуск і підписання сертифікатів, криптографічні операції, організується збереження інформації в локальній базі даних. Крім того, виникає необхідність поширення ключів.

Більш раціональним способом підвищення розширюваності вважається генерація пар ключів користувачами.

Для збереження сертифікатів відкритих ключів звичайно використовується загальнодоступний каталог. У більшості випадків підтримується централізований універсальний каталог (LDAP).

Для зменшення робочого навантаження на каталог сертифікати та інша інформація можуть зберігатися в кеш-пам'яті програм-застосувань (швидкодіючої буферної пам'яті). Цей спосіб підвищення продуктивності і розширюваності, в цілому, досить ефективний, але вимагає внесення в політику ІВК обмежень на тривалість збереження сертифікатів у кеш-пам'яті без втрати статусу дійсності.

При функціонуванні ІВК надзвичайно важлива підтримка списків анульованих сертифікатів.

Слід враховувати, що вибір такого способу перевірки статусу сертифікатів (дійсний - недійсний), як онлайнова верифікація, значно підвищує вимоги до продуктивності сервера каталогів, тому система центру сертифікації повинна бути здатна керувати додатковим навантаженням при зростанні числа користувачів ІВК.

Для нормального функціонування ІВК дуже важлива ритмічність, тому вкрай небажаним є збіг дат закінчення дії великої кількості сертифікатів і ключів, оскільки це призводить до підсилення ризику застосування недійсних сертифікатів.

Щоб цьому запобігти, поновлення повинні відбуватися рівномірно, а не прив'язуватися до визначеної дати. Крім того, при проектуванні ІВК і організації її баз даних необхідно враховувати години пікового навантаження в роботі системи, тощо.

Важливим елементом системи є обслуговування недійсних сертифікатів.

Процедура блокування або скасування сертифікату призводить до внесення сертифікату до ССС - списку скасованих сертифікатів.

Список скасованих сертифікатів випускається (тобто є дійсним) на певний період. Він створюється у каталозі і містить перелік серійних номерів анульованих сертифікатів, підписаний ЦП ЦС, що його сформував. Користувач має звертатися до каталогу за відповідною інформацією.

Кожний раз, коли користувач перевіряє дійсність сертифікату, програмне забезпечення користувача перевіряє останній кешований список відкликаних сертифікатів або використовує механізми OCSP для визначення дійсності сертифікату.

Якщо серійний номер сертифікату існує у списку, це означає, що сертифікат більш не дійсний та програмне забезпечення його відкидає.

Для оптимізації перевірки статусу сертифікатів можна застосовувати розширення CRL Distribution Point (пункт поширення списків скасованих сертифікатів).

Це розширення задає уніфікований ідентифікатор ресурсу (URI), який визначає місце розташування структури списків скасованих сертифікатів менших розмірів, що прискорює доступ до інформації щодо скасованого сертифікату.