Jump to content

Х.500

X.500 представляет собой серию стандартов компьютерных сетей, охватывающих службы электронных каталогов . Серия X.500 была разработана Сектором стандартизации электросвязи Международного союза электросвязи (ITU-T). МСЭ-Т ранее назывался Консультативным комитетом по международной телефонии и телеграфии (CCITT). X.500 был впервые одобрен в 1988 году. [1] Службы каталогов были разработаны для поддержки требований обмена электронной почтой X.400 и поиска имен. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) выступили партнерами в разработке стандартов и включили их в взаимодействия открытых систем набор протоколов . ISO/IEC 9594 — это соответствующий идентификатор ISO/IEC.

Протоколы X.500 [ править ]

Протоколы, определенные X.500, включают:

Имя протокола Описание Определение спецификации*
Протокол доступа к каталогу (DAP) «Определяет обмен запросами и результатами между DUA и DSA».

Вот как клиент взаимодействует с системой каталогов.

Рекомендация МСЭ X.511
Протокол системы каталогов (DSP) «Определяет обмен запросами и результатами между двумя DSA».

Вот как два сервера каталогов взаимодействуют друг с другом.

Рекомендация МСЭ X.518
Протокол затенения информации каталога (DISP) «Определяет обмен информацией о репликации между двумя DSA, которые установили соглашения о дублировании».

Вот как серверы каталогов реплицируют информацию.

Рекомендация МСЭ X.525
Протокол управления операционными привязками каталогов (DOP) «Определяет обмен административной информацией между двумя DSA для администрирования рабочих привязок между ними».

Именно так каталоги управляют соглашениями, например, касающимися репликации, между собой.

Рекомендация МСЭ X.501
Протокол подписки центра сертификации (CASP) Рекомендация МСЭ X.509
Протокол управления проверкой авторизации (AVMP) Рекомендация МСЭ X.509
Протокол доверительного брокера (TBP) Рекомендация МСЭ X.510

* Эти протоколы обычно определяются по частям в нескольких спецификациях и модулях ASN.1. В столбце «Определение спецификации» выше указано (субъективно), какая спецификация вносит наибольший вклад в протокол.

Поскольку эти протоколы использовали сетевой стек OSI , был разработан ряд альтернатив DAP, позволяющих интернет-клиентам получать доступ к каталогу X.500 с использованием сетевого стека TCP/IP . Наиболее известной альтернативой DAP является облегченный протокол доступа к каталогам ( LDAP ). Хотя DAP и другие протоколы X.500 теперь могут использовать сетевой стек TCP/IP, LDAP остается популярным протоколом доступа к каталогам.

Транспортные протоколы [ править ]

Протоколы X.500 традиционно используют сетевой стек OSI . Однако облегченный протокол доступа к каталогам ( LDAP ) использует TCP/IP для транспорта. В более поздних версиях Рекомендации ITU X.519 были введены протоколы прямого отображения в Интернете (IDM), позволяющие транспортировать блоки данных протокола X.500 (PDU) через стек TCP/IP. Этот транспорт включает в себя передачу ISO через TCP, а также простой двоичный протокол на основе записей для формирования дейтаграмм протокола.

Модели данных X.500 [ править ]

Основная концепция X.500 заключается в том, что существует единое информационное дерево каталога (DIT), иерархическая организация записей, которые распределены по одному или нескольким серверам, называемым агентами системы каталогов (DSA). Запись состоит из набора атрибутов, каждый атрибут имеет одно или несколько значений. Каждая запись имеет уникальное отличительное имя , образованное путем объединения ее относительного отличительного имени (RDN), одного или нескольких атрибутов самой записи и RDN каждой из вышестоящих записей вплоть до корня DIT. Поскольку LDAP реализует модель данных, очень похожую на модель X.500, дальнейшее описание модели данных содержится в статье о LDAP .

X.520 и X.521 вместе обеспечивают определение набора атрибутов и классов объектов, которые будут использоваться для представления людей и организаций в виде записей в DIT. Это одна из наиболее широко используемых схем «белых страниц» .

X.509 , часть стандарта, обеспечивающая структуру аутентификации, теперь также широко используется за пределами протоколов каталогов X.500. Он определяет стандартный формат сертификатов открытого ключа.

каталога X.500 и цифровых X.509v3 Взаимосвязь сертификатов

Текущее использование сертификатов X.509v3 вне структуры каталога, загружаемого непосредственно в веб-браузеры, было необходимо для развития электронной коммерции, обеспечивая возможность безопасной веб-связи (SSL/TLS), которая не требовала каталога X.500 в качестве источника данных. цифровые сертификаты, первоначально задуманные в X.500 (1988 г.). Чтобы понять их взаимосвязь, следует противопоставить роли X.500 и X.509: X.509 был разработан как метод безопасного доступа для обновления X.500 до появления WWW, но когда веб-браузеры стали популярными, возникла необходимость простой метод шифрования соединений на транспортном уровне с веб-сайтами. Следовательно, доверенные корневые сертификаты поддерживаемых центров сертификации были предварительно загружены в области хранения сертификатов на персональном компьютере или устройстве.

Дополнительная безопасность предусмотрена запланированной на 2011-2014 годы реализацией Национальной стратегии США по доверенным идентификационным данным в киберпространстве , рассчитанного на два-три года проекта по защите цифровых удостоверений в киберпространстве. [2]

Реализация X.509v3 для электронной коммерции в WWW обошла, но не заменила исходный стандартный механизм аутентификации ISO, заключающийся в привязке отличительных имен в каталоге X.500.

Эти пакеты сертификатов могут быть добавлены или удалены конечным пользователем в их программном обеспечении, но они проверяются Microsoft и Mozilla на предмет их постоянной надежности. В случае возникновения проблемы, такой как та, что произошла с DigiNotar , эксперты по безопасности браузера могут выпустить обновление, чтобы пометить центр сертификации как ненадежный, но это серьезное удаление этого центра сертификации из «интернет-доверия». X.500 предлагает способ просмотреть, какая организация претендует на конкретный корневой сертификат за пределами предоставленного пакета. Это может функционировать как «четырехугольная модель доверия», добавляющая еще одну проверку, чтобы определить, был ли скомпрометирован корневой сертификат. Правила, регулирующие политику Federal Bridge по отзыву скомпрометированных сертификатов, доступны на сайте www.idmanagement.gov .

Контраст этого подхода, связанного с браузером, заключается в том, что в X.500 или LDAP атрибут «caCertificate» может быть «привязан» к записи каталога и проверяться в дополнение к предварительно загруженному по умолчанию пакету сертификатов, который конечные пользователи обычно никогда не замечают. если не появилось предупреждающее сообщение SSL.

Например, веб-сайт, использующий SSL, обычно имя сайта DNS «www.foobar.com» проверяется в браузере программным обеспечением с использованием библиотек, которые проверяют, подписан ли сертификат одним из доверенных корневых сертификатов, предоставленных пользователь.

Таким образом, создается уверенность пользователей в том, что они попали на правильный веб-сайт через HTTPS.

Однако возможны и более строгие проверки, чтобы указать, что было проверено не только доменное имя. В отличие от X.500, сертификат является одним из многих атрибутов записи, в котором запись может содержать все, что разрешено конкретной схемой Справочника. Таким образом, X.500 хранит цифровой сертификат, но это один из многих атрибутов, которые потенциально могут подтвердить организацию, например физический адрес, контактный номер телефона и адрес электронной почты.

Сертификаты CA или сертификаты центра сертификации загружаются в браузер автоматически (в случае механизма обновления Microsoft) или в обновлениях новых версий браузеров, и пользователю предоставляется дополнительная возможность импортировать, удалять или устанавливать индивидуальные доверительные отношения с загруженные центры сертификации и определить, как будет вести себя браузер, если серверы отзыва OCSP недоступны.

Это контрастирует с моделью Справочника, которая связывает атрибут caCertificate с указанным центром сертификации.

Таким образом, браузер может проверить сертификат SSL веб-сайта с помощью загруженной группы принятых сертификатов, или корневые сертификаты можно найти в каталоге X.500 или LDAP (или через HTTP/S) и импортировать в список доверенных. центры сертификации.

«Связанное» отличительное имя находится в полях субъекта сертификата, который соответствует записи Справочника. X.509v3 может содержать другие расширения, помимо международных доменных имен, в зависимости от интересов сообщества. Для широкого использования в Интернете RFC-5280 PKIX описывает профиль полей, которые могут быть полезны для таких приложений, как зашифрованная электронная почта.

Конечный пользователь, который полагается на подлинность сертификата, представленного в браузере или по электронной почте, не имеет простого способа сравнить представленный поддельный сертификат (возможно, который вызывает предупреждение браузера) с действительным сертификатом, не имея при этом возможности проверить DN или отличительное имя, которое было разработано для поиска в DIT X.500.

Сам сертификат является общедоступным, его нельзя подделать, и поэтому он может распространяться любым способом, но связанная с ним привязка к личности происходит в Справочнике. Привязка — это то, что связывает сертификат с личностью, которая утверждает, что использует этот сертификат. Например, программное обеспечение X.500, на котором работает Federal Bridge, имеет перекрестные сертификаты, которые обеспечивают доверие между центрами сертификации.

Простое гомографическое сопоставление доменных имен привело к фишинговым атакам, когда домен может показаться законным, но на самом деле это не так.

Если сертификат X.509v3 привязан к действующему отличительному имени организации в Справочнике, то можно выполнить простую проверку подлинности сертификата путем сравнения того, что представлено браузеру, с тем, что присутствует в Справочнике. .

Существуют некоторые варианты проверки нотариусов на предмет того, не был ли сертификат замечен совсем недавно и, следовательно, с большей вероятностью был скомпрометирован. [3] Если сертификату, скорее всего, можно доверять, но он терпит неудачу из-за небольшого несоответствия доменного имени, сначала он не будет работать в браузере, но затем будет подвергнут нотариальному доверию, которое затем может обойти предупреждение браузера.

Действительная запись организации, такая как o=FoobarWidgets, также будет иметь связанный буквенно-цифровой идентификатор OID, и она будет «подтверждена идентичностью» ANSI, обеспечивая еще один уровень гарантии в отношении привязки сертификата к личности.

Недавние события (2011 г.) указали на угрозу со стороны неизвестных субъектов в национальных государствах, которые подделали сертификаты. Это было сделано для того, чтобы организовать атаку MITM на политических активистов в Сирии, получающих доступ к Facebook через Интернет. Обычно это вызвало бы предупреждение браузера, но не было бы, если бы сертификат MITM был выдан действительным центром сертификации, которому уже доверяет браузер или другое программное обеспечение. Подобные атаки использовались Stuxnet, который позволял программному обеспечению выдавать себя за доверенный код. Смысл прозрачности сертификата заключается в том, чтобы позволить конечному пользователю определить, используя простую процедуру, действительно ли сертификат действителен. Проверки набора сертификатов по умолчанию может быть недостаточно для этого, поэтому желательна дополнительная проверка. Были выдвинуты и другие предложения по прозрачности сертификатов. [4]

Другая атака была использована против Comodo, центра сертификации, в результате чего были подделаны сертификаты, направленные на высокопоставленные коммуникационные веб-сайты. Это потребовало экстренного обновления основных браузеров. Эти сертификаты на самом деле были выданы доверенным центром сертификации, и поэтому пользователь не получил бы никакого предупреждения, если бы он зашел на поддельный веб-сайт, в отличие от инцидента в Сирии, где сертификат был грубо подделан, включая замену Пало на Альто-Пало. Альт. и неправильные серийные номера.

Некоторые проекты, предназначенные для обмена PHI, защищенной медицинской информацией (которая считается высокочувствительной согласно HIPAA ), могут получать сертификаты X.509v3 через запись ресурса CERT DNS или через LDAP в каталог X.500[2008]. Затем проблема авторитетной привязки подробно описана в RFC, связанной с точностью информации DNS, защищенной путем подписания из корня с использованием DNSSEC.

Концепция корневых серверов имен была источником серьезных разногласий в интернет-сообществе, но проблема DNS в значительной степени решена. Традиционно считалось, что пространство имен, связанное с X.500, начинается с национального органа по именам, что отражает подход ISO/ITU к глобальным системам с национальным представительством. Таким образом, разные страны создадут свои собственные уникальные сервисы X.500. USX500 был приватизирован в 1998 году, когда правительство США больше не предлагало регистрацию X.500 или DNS за пределами известных правительственных учреждений.

Пилотный проект X.500 находится в разработке в коммерческом пространстве, и эта технология продолжает присутствовать в крупных установках миллионов пользователей в корпоративных центрах обработки данных, а также в правительстве США для сертификации.

Список стандартов серии X.500 [ править ]

Номер МСЭ-Т ИСО/МЭК Номер Название стандарта
Х.500 ИСО/МЭК 9594-1 Справочник: Обзор концепций, моделей и услуг
Х.501 ИСО/МЭК 9594-2 Каталог: Модели
Х.509 ИСО/МЭК 9594-8 Справочник: Структуры сертификатов открытых ключей и атрибутов
Х.511 ИСО/МЭК 9594-3 Справочник: определение абстрактного сервиса
Х.518 ИСО/МЭК 9594-4 Справочник: Процедуры для распределенной работы
Х.519 ИСО/МЭК 9594-5 Справочник: Спецификации протоколов
Х.520 ИСО/МЭК 9594-6 Справочник: Избранные типы атрибутов
Х.521 ИСО/МЭК 9594-7 Справочник: Избранные классы объектов
Х.525 ИСО/МЭК 9594-9 Каталог: Репликация
Х.530 ИСО/МЭК 9594-10 Справочник: Использование системного управления для администрирования Справочника.

Критика [ править ]

Авторы RFC 2693 (относительно SPKI ) отмечают, что «первоначальный план X.500 вряд ли когда-либо будет реализован. Коллекции записей каталога... считаются ценными или даже конфиденциальными владельцами списков и вряд ли будут выпущен миру в виде поддерева каталогов X.500». и что «идея X.500 об отличительном имени (единственное, глобально уникальное имя, которое каждый может использовать при обращении к объекту) также вряд ли осуществится».

См. также [ править ]

Ссылки [ править ]

  1. ^ X.500 и LDAP Collectionscanada.gc.ca. Архивировано 1 апреля 2021 г. на Wayback Machine.
  2. ^ «Национальная стратегия по обеспечению надежной идентификации в киберпространстве» . Проверено 10 сентября 2023 г.
  3. ^ Вендландт, Дэн; Андерсен, Дэвид Г.; Перриг, Адриан (июнь 2008 г.). «Перспективы: улучшение аутентификации хоста в стиле SSH с помощью многопутевого зондирования» (PDF) . Материалы ежегодной технической конференции USENIX 2008 г .: 321–334.
  4. ^ «Прозрачность сертификата» . www.certificate-transparency.org .

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: d3b199fcb40236d6cbf8ff7afae7d254__1695014280
URL1:https://arc.ask3.ru/arc/aa/d3/54/d3b199fcb40236d6cbf8ff7afae7d254.html
Заголовок, (Title) документа по адресу, URL1:
X.500 - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)