Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

X 509 в криптографії стандарт ITU T для інфраструктури відкритого публічного ключа англ public key infrastructure PKI та

X.509

X.509

X.509 — в криптографії стандарт ITU-T для інфраструктури відкритого (публічного) ключа (англ. public key infrastructure (PKI)) та інфраструктури управління привілеями (англ. Privilege Management Infrastructure (PMI)).

X.509 стандартизує формати представлення та кодування:

  • сертифікатів відкритого ключа (англ. public key certificates);
  • списку відкликаних сертифікатів (англ. certificate revocation lists);
  • атрибутів сертифікатів (англ. attribute certificates);
  • алгоритм перевірки методу сертифікації (англ. certification path validation algorithm).

Історія

X.509 був виданий 3 липня 1988 року і був зв'язаний зі стандартом X.500.

Особливості

Для випуску сертифікатів існує чітко визначена ієрархічна система відповідальних органів (англ. certificate authorities — CAs). У цьому його відмінність від моделей основаних на принципі мережі довіри (англ. web of trust), подібним до PGP, де будь-хто (не тільки спеціальні органи — CAs) можуть випускати, підписувати і перевіряти відповідність.

Версія 3 X.509 має гнучкість для підтримки таких топологій як мости (bridges) та сітки (meshes). Може бути використаний у p2p мережах, але таким чином використовується рідко.

Види сертифікатів

Стандартом X.509 визначані такі види сертифікатів:

  • сертифікат відкритого ключа;
  • сертифікат атрибутів.

Сертифікат відкритого ключа підтверджує, що відкритий ключ належить відповідній особі. Містить ім'я особи, відкритий ключ, назву засвідчувального центру, політику використання тощо. Сертифікат підписується електронним підписом засвідчувального центру.

Сертифікат відкритого ключа використовується для ідентифікації особи та визначення операцій, які він має право здійснювати з використанням закритого ключа, що відповідає відкритому ключу.

Формат сертифіката відкритого ключа X.509 v3 наведено в RFC 5280.

Сертифікат атрибутів — підтверджує атрибути та їх значення, що характеризують особу, наприклад, приналежність до групи, роль, повноваження тощо. За структурою аналогічний сертифікату відкритого ключа, але не має відкритого ключа. Сертифікат атрибутів застосовується для авторизації осіб.

Формат сертифіката атрибутів наведено в RFC 5755.

Структура сертифікату

Сертифікат складається з наступних атрибутів та їхніх значень:

  • Сертифікат (Certificate)
    • версія (Version)
    • серійний номер (Serial Number)
    • ідентифікатор алгоритму (Algorithm ID)
    • видавець (Issuer)
    • період дії (Validity) включає у себе:
      • не перед (Not Before)
      • не після (Not After)
    • суб’єкт сертифікату (Subject)
    • інформація про публічний ключ суб’єкту (Subject Public Key Info):
      • алгоритм (Public Key Algorithm)
      • публічний ключ (Subject Public Key)
    • унікальний ідентифікатор видавця (Issuer Unique Identifier ) — необов'язково
    • унікальний ідентифікатор суб’єкту (Subject Unique Identifier) — необов'язково
    • розширення (Extensions) - необов'язково
      • додаткові дані
  • Алгоритм підпису сертифікату(Certificate Signature Algorithm).
  • Підпис сертифікату(Certificate Signature).

Класифікація сертифікатів

VeriSign запропонувала наступну концепцію класифікації цифрових сертифікатів:

  • Class 1 - індивідуальні, для ідентифікації електронної пошти;
  • Class 2 - для організацій;
  • Class 3 - для серверів та програмного забезпечення;
  • Class 4 - для онлайн-бізнесу та транзакцій між компаніями;
  • Class 5 - для приватних компаній або урядової безпеки.

Загальновживані розширення файлів сертифікатів

  • .CER — закодований сертифікат або набір сертифікатів;
  • .DER — закодований сертифікат;
  • .PEM — (Privacy Enhanced Mail) Base64 закодований DER сертифікат, поміщений між «-----BEGIN CERTIFICATE-----» та «-----END CERTIFICATE-----»;
  • .P7B — Див. .p7c
  • .P7C — Підписана структура без даних, просто сертифікат(-и) чи список сертифікатів які вже не дійсні;
  • .PFX — Див. .p12
  • .P12 — можуть містити публічні та приватні ключі захищені паролем.

Приклад

Найбільш поширений файл з сертифікатом відкритого ключа (*.cer) містить інформацію в бінарному вигляді. Для того, щоб її переглянути можна скористатись пакетом OpenSSL: 

 openssl x509 -inform der -in my_digest.cer -noout -text

Ця команда покаже вміст сертифікату (нижче приклад): 

 Data: Version: 3 (0x2) Serial Number: 646702442348892787 (0x8f98c71e7955273) Signature Algorithm: sha256WithRSAEncryption Issuer: C = UA, O = MyDigest Inc., OU = My Digest Company, CN = Developer Relations Cert Validity Not Before: Oct 12 12:40:30 2014 GMT Not After : Oct 12 12:40:30 2016 GMT Subject: UID = XMM9NE5AEO, CN = Developer: Petrovsk Oleksa, OU = Worker, O = Petrovsk Oleksa, C = UA Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:d3:de:c0:bf:f6:8b:51:1c:b7:66:a1:4f:0c:94: .... .... Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE X509v3 Authority Key Identifier: keyid:88:27:17:09:A9:B6:18:60:8B:EC:EB:BA:F6:47:59:C5:52:54:A3:B7 Authority Information Access: OCSP - URI:http://ocsp.mydiget.com/findosp[недоступне посилання з червня 2019] X509v3 Certificate Policies: Policy: 1.2.340.122635.100.1.1 User Notice: Explicit Text: Reliance on this certificate by ... CPS: http://www.mydiget.com/certificateauthority/[недоступне посилання з червня 2019] X509v3 Extended Key Usage: critical Code Signing X509v3 Subject Key Identifier: 23:D2:13:8B:27:81:88:99:00:88:0D:41:CB:37:53:72:4A:F3:02:6D X509v3 Key Usage: critical Digital Signature 1.2.840.113635.100.6.1.2: critical .. Signature Algorithm: sha256WithRSAEncryption ba:23:aa:a9:0b:8c:c6:1b:d6:dd:9a:83:b2:29:e8:f8:4f:2f: .... ....

Примітки

  1. RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
  2. RFC 5755 — An Internet Attribute Certificate Profile for Authorization

Посилання

  • ITU-X Recommendation X.509 : Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks [ 13 квітня 2018 у Wayback Machine.]
  • Peter Gutmann's X.509 Style Guide [Архівовано 25 січня 2013 у WebCite]
  • CAcert.org — Free digital certificates [ 24 січня 2013 у Wayback Machine.]
  • Enterprise Trust Integration and Web Services Security standards and demos [ 25 серпня 2015 у Wayback Machine.]


Ця стаття потребує додаткових для поліпшення її . Будь ласка, допоможіть удосконалити цю статтю, додавши посилання на . Зверніться на за поясненнями та допоможіть виправити недоліки.
Матеріал без джерел може бути та вилучено. (січень 2017)
image Це незавершена стаття з криптографії.
Ви можете проєкту, виправивши або дописавши її.
image Це незавершена стаття про Інтернет.
Ви можете проєкту, виправивши або дописавши її.

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

X 509 v kriptografiyi standart ITU T dlya infrastrukturi vidkritogo publichnogo klyucha angl public key infrastructure PKI ta infrastrukturi upravlinnya privileyami angl Privilege Management Infrastructure PMI X 509 standartizuye formati predstavlennya ta koduvannya sertifikativ vidkritogo klyucha angl public key certificates spisku vidklikanih sertifikativ angl certificate revocation lists atributiv sertifikativ angl attribute certificates algoritm perevirki metodu sertifikaciyi angl certification path validation algorithm IstoriyaX 509 buv vidanij 3 lipnya 1988 roku i buv zv yazanij zi standartom X 500 OsoblivostiDlya vipusku sertifikativ isnuye chitko viznachena iyerarhichna sistema vidpovidalnih organiv angl certificate authorities CAs U comu jogo vidminnist vid modelej osnovanih na principi merezhi doviri angl web of trust podibnim do PGP de bud hto ne tilki specialni organi CAs mozhut vipuskati pidpisuvati i pereviryati vidpovidnist Versiya 3 X 509 maye gnuchkist dlya pidtrimki takih topologij yak mosti bridges ta sitki meshes Mozhe buti vikoristanij u p2p merezhah ale takim chinom vikoristovuyetsya ridko Vidi sertifikativStandartom X 509 viznachani taki vidi sertifikativ sertifikat vidkritogo klyucha sertifikat atributiv Sertifikat vidkritogo klyucha pidtverdzhuye sho vidkritij klyuch nalezhit vidpovidnij osobi Mistit im ya osobi vidkritij klyuch nazvu zasvidchuvalnogo centru politiku vikoristannya tosho Sertifikat pidpisuyetsya elektronnim pidpisom zasvidchuvalnogo centru Sertifikat vidkritogo klyucha vikoristovuyetsya dlya identifikaciyi osobi ta viznachennya operacij yaki vin maye pravo zdijsnyuvati z vikoristannyam zakritogo klyucha sho vidpovidaye vidkritomu klyuchu Format sertifikata vidkritogo klyucha X 509 v3 navedeno v RFC 5280 Sertifikat atributiv pidtverdzhuye atributi ta yih znachennya sho harakterizuyut osobu napriklad prinalezhnist do grupi rol povnovazhennya tosho Za strukturoyu analogichnij sertifikatu vidkritogo klyucha ale ne maye vidkritogo klyucha Sertifikat atributiv zastosovuyetsya dlya avtorizaciyi osib Format sertifikata atributiv navedeno v RFC 5755 Struktura sertifikatuSertifikat skladayetsya z nastupnih atributiv ta yihnih znachen Sertifikat Certificate versiya Version serijnij nomer Serial Number identifikator algoritmu Algorithm ID vidavec Issuer period diyi Validity vklyuchaye u sebe ne pered Not Before ne pislya Not After sub yekt sertifikatu Subject informaciya pro publichnij klyuch sub yektu Subject Public Key Info algoritm Public Key Algorithm publichnij klyuch Subject Public Key unikalnij identifikator vidavcya Issuer Unique Identifier neobov yazkovo unikalnij identifikator sub yektu Subject Unique Identifier neobov yazkovo rozshirennya Extensions neobov yazkovo dodatkovi dani Algoritm pidpisu sertifikatu Certificate Signature Algorithm Pidpis sertifikatu Certificate Signature Klasifikaciya sertifikativ VeriSign zaproponuvala nastupnu koncepciyu klasifikaciyi cifrovih sertifikativ Class 1 individualni dlya identifikaciyi elektronnoyi poshti Class 2 dlya organizacij Class 3 dlya serveriv ta programnogo zabezpechennya Class 4 dlya onlajn biznesu ta tranzakcij mizh kompaniyami Class 5 dlya privatnih kompanij abo uryadovoyi bezpeki Zagalnovzhivani rozshirennya fajliv sertifikativ CER zakodovanij sertifikat abo nabir sertifikativ DER zakodovanij sertifikat PEM Privacy Enhanced Mail Base64 zakodovanij DER sertifikat pomishenij mizh BEGIN CERTIFICATE ta END CERTIFICATE P7B Div p7c P7C Pidpisana struktura bez danih prosto sertifikat i chi spisok sertifikativ yaki vzhe ne dijsni PFX Div p12 P12 mozhut mistiti publichni ta privatni klyuchi zahisheni parolem PrikladNajbilsh poshirenij fajl z sertifikatom vidkritogo klyucha cer mistit informaciyu v binarnomu viglyadi Dlya togo shob yiyi pereglyanuti mozhna skoristatis paketom OpenSSL openssl x509 inform der in my digest cer noout text Cya komanda pokazhe vmist sertifikatu nizhche priklad Data Version 3 0x2 Serial Number 646702442348892787 0x8f98c71e7955273 Signature Algorithm sha256WithRSAEncryption Issuer C UA O MyDigest Inc OU My Digest Company CN Developer Relations Cert Validity Not Before Oct 12 12 40 30 2014 GMT Not After Oct 12 12 40 30 2016 GMT Subject UID XMM9NE5AEO CN Developer Petrovsk Oleksa OU Worker O Petrovsk Oleksa C UA Subject Public Key Info Public Key Algorithm rsaEncryption Public Key 2048 bit Modulus 00 d3 de c0 bf f6 8b 51 1c b7 66 a1 4f 0c 94 Exponent 65537 0x10001 X509v3 extensions X509v3 Basic Constraints critical CA FALSE X509v3 Authority Key Identifier keyid 88 27 17 09 A9 B6 18 60 8B EC EB BA F6 47 59 C5 52 54 A3 B7 Authority Information Access OCSP URI http ocsp mydiget com findosp nedostupne posilannya z chervnya 2019 X509v3 Certificate Policies Policy 1 2 340 122635 100 1 1 User Notice Explicit Text Reliance on this certificate by CPS http www mydiget com certificateauthority nedostupne posilannya z chervnya 2019 X509v3 Extended Key Usage critical Code Signing X509v3 Subject Key Identifier 23 D2 13 8B 27 81 88 99 00 88 0D 41 CB 37 53 72 4A F3 02 6D X509v3 Key Usage critical Digital Signature 1 2 840 113635 100 6 1 2 critical Signature Algorithm sha256WithRSAEncryption ba 23 aa a9 0b 8c c6 1b d6 dd 9a 83 b2 29 e8 f8 4f 2f PrimitkiRFC 5280 Internet X 509 Public Key Infrastructure Certificate and Certificate Revocation List CRL Profile RFC 5755 An Internet Attribute Certificate Profile for AuthorizationPosilannyaITU X Recommendation X 509 Information technology Open Systems Interconnection The Directory Public key and attribute certificate frameworks 13 kvitnya 2018 u Wayback Machine Peter Gutmann s X 509 Style Guide Arhivovano 25 sichnya 2013 u WebCite CAcert org Free digital certificates 24 sichnya 2013 u Wayback Machine Enterprise Trust Integration and Web Services Security standards and demos 25 serpnya 2015 u Wayback Machine Cya stattya potrebuye dodatkovih posilan na dzherela dlya polipshennya yiyi perevirnosti Bud laska dopomozhit udoskonaliti cyu stattyu dodavshi posilannya na nadijni avtoritetni dzherela Zvernitsya na storinku obgovorennya za poyasnennyami ta dopomozhit vipraviti nedoliki Material bez dzherel mozhe buti piddano sumnivu ta vilucheno sichen 2017 Ce nezavershena stattya z kriptografiyi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi Ce nezavershena stattya pro Internet Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi

Дата публікації:
Топ