Читаем Инфраструктуры открытых ключей полностью

|ППС | Физический доступ к аппаратному обеспечению УЦ разрешен только лицам, ответственным за техническую поддержку системы |

|Регламент | Для гарантирования физической безопасности аппаратного обеспечения УЦ должны соблюдаться следующие меры контроля: вход в помещение, где размещается аппаратура УЦ, - только по два человека; контроль доступа в помещение - биометрический; наблюдение за помещением - 24 часа в сутки 7 дней в неделю (по системе 24/7) |

|Организационные процедуры | Аппаратное обеспечение УЦ размещается в помещении с IT-блокировкой на … этаже офиса … на улице …. Дверь защищается замком и устройством биометрической аутентификации. Ключи раздаются лицам, перечисленным в списке (приложение А ), биометрические профили создаются только для этих лиц. Камеры на северной стене над входом в помещение и на западной стене за огнетушителем выполняют наблюдение под управлением пульта безопасности 24 часа в сутки 7 дней в неделю |

Таблица 13.1.Сравнительная характеристика формулировок документов, описывающих одно положение политики PKI

При принятии решения об использовании данного сертификата для конкретной цели и доверии к нему пользователь может ориентироваться на указатель ППС в сертификате формата X.509 версии 3. Таким указателем, характеризующим политику применения сертификатов, является уникальный зарегистрированный идентификатор объекта Object Identifier. Идентификаторы объектов - это один из простых типов данных, определяемых абстрактной синтаксической нотацией ASN.1. Идентификатор объекта задается последовательностью целочисленных компонентов (например, 1.3.6.1.4.1.6943 ), которая уникально идентифицирует объект (алгоритм, тип атрибута и т.п.) или центр регистрации идентификаторов.

Регистрация идентификаторов объектов выполняется в соответствии с процедурами, определенными стандартами Международной организации стандартизации (ISO), Международной электротехнической комиссии (IEC) и Международным союзом по телекоммуникациям (ITU). Сторона, регистрирующая Object Identifier, публикует текстовую спецификацию ППС для ознакомления с ней пользователей сертификатов. Каждый УЦ аккредитуется с учетом заявленных им политик, которые считаются базовыми. Перечень заявленных политик указывается в сертификате этого центра. Существует система международных, национальных и корпоративных центров регистрации. Во многих странах национальные организации стандартизации поддерживают регистр идентификаторов объектов. Центры регистрации идентификаторов создают иерархию идентификаторов объектов и гарантируют уникальность каждого идентификатора в общей системе. Каждый центр определяет смысл значений Object Identifier данной последовательности компонентов и несет ответственность за все последовательности компонентов, начиная с данной последовательности [2]. Центр может делегировать полномочия другому подчиненному центру регистрации идентификаторов.

Идентификаторы объектов часто применяют в сертификатах X.509 для:

* отображения криптографических алгоритмов (например, алгоритм SHA-1 с RSA имеет идентификатор 1.2.840.113549.1.1.5.);

* задания атрибута имени в отличительном имени субъекта;

* идентификации политик применения сертификатов ;

* указания расширенного назначения ключа;

* задания дополнений сертификатов и списков САС.

Модель доверия стандарта X.509 предполагает анализ идентификаторов ППС при обработке пути сертификации.

|Object Identifier 1.2.643.3.15.1 | Политика применения сертификатов ЗАО "Цифровая подпись" |

|1.2.643.3.15.1.1 | Общее использование в PKI без права заверения финансовых документов |

|1.2.643.3.15.1.2 | Оформление соглашений, договоров |

|1.2.643.3.15.1.3 | Организация внутрикорпоративного документооборота |

|1.2.643.3.15.1.5 | Закрепление авторских прав |

|1.2.643.3.15.1.7 | Использование в системах электронной коммерции |

Таблица 13.2.Примеры идентификаторов политик применения сертификата