X.500 - X.500
X.500 - это серия стандартов компьютерных сетей, охватывающих службы электронных каталогов . Серия X.500 была разработана Сектором стандартизации электросвязи Международного союза электросвязи (ITU-T). МСЭ-Т ранее назывался Консультативным комитетом по международной телефонии и телеграфии (CCITT). X.500 был впервые утвержден в 1988 году. Службы каталогов были разработаны для поддержки требований обмена электронной почтой X.400 и поиска имен. Международная организация по стандартизации (ISO) была партнером в разработке стандартов, включая их в открытых системах набора протоколов. ISO / IEC 9594 - это соответствующая идентификация ISO.
Протоколы X.500
Протоколы, определенные X.500, включают:
| Имя протокола | Описание | Определение спецификации * |
|---|---|---|
| Протокол доступа к каталогам (DAP) | «Определяет обмен запросами и результатами между DUA и DSA».
Так клиент взаимодействует с системой каталогов. |
Рекомендация МСЭ X.511 |
| Протокол системы каталогов (DSP) | «Определяет обмен запросами и результатами между двумя DSA».
Вот как два сервера каталогов взаимодействуют друг с другом. |
Рекомендация МСЭ X.518 |
| Протокол теневого копирования информации каталога (DISP) | «Определяет обмен информацией о репликации между двумя DSA, которые заключили соглашения о дублировании».
Вот как серверы каталогов реплицируют информацию. |
Рекомендация МСЭ X.525 |
| Протокол управления операционными привязками каталогов (DOP) | «Определяет обмен административной информацией между двумя DSA для администрирования рабочих привязок между ними».
Таким образом каталоги управляют соглашениями, например, относящимися к репликации, между собой. |
Рекомендация МСЭ X.501 |
| Протокол подписки центра сертификации (CASP) | Рекомендация МСЭ X.509 | |
| Протокол управления проверкой авторизации (AVMP) | Рекомендация МСЭ X.509 | |
| Протокол доверенного брокера (TBP) | Рекомендация МСЭ X.510 |
* Эти протоколы обычно определяются по частям в нескольких спецификациях и модулях ASN.1. Столбец «Определяющая спецификация» выше указывает (субъективно), какая спецификация вносит наибольший вклад в протокол.
Поскольку эти протоколы использовали сетевой стек OSI , был разработан ряд альтернатив DAP, позволяющих интернет-клиентам получать доступ к каталогу X.500 с использованием сетевого стека TCP / IP . Самая известная альтернатива DAP - это облегченный протокол доступа к каталогам ( LDAP ). Хотя DAP и другие протоколы X.500 теперь могут использовать сетевой стек TCP / IP, LDAP остается популярным протоколом доступа к каталогам.
Транспортные протоколы
Протоколы X.500 традиционно используют сетевой стек OSI . Однако облегченный протокол доступа к каталогам ( LDAP ) использует TCP / IP для транспорта. В более поздних версиях Рекомендации МСЭ X.519 были введены протоколы с прямым отображением в Интернете (IDM), позволяющие передавать блоки данных протокола (PDU) X.500 через стек TCP / IP. Этот транспорт включает в себя транспорт ISO через TCP, а также простой двоичный протокол на основе записей для кадрирования дейтаграмм протокола.
Модели данных X.500
Основная концепция X.500 состоит в том, что существует единое информационное дерево Справочника (DIT), иерархическая организация записей, которые распределены по одному или нескольким серверам, называемым системными агентами Справочника (DSA). Запись состоит из набора атрибутов, каждый из которых имеет одно или несколько значений. Каждая запись имеет уникальное отличительное имя , образованное путем объединения ее относительного отличительного имени (RDN), одного или нескольких атрибутов самой статьи и RDN каждой из вышестоящих записей до корня DIT. Поскольку LDAP реализует модель данных, очень похожую на модель данных X.500, дальнейшее описание модели данных приведено в статье о LDAP .
X.520 и X.521 вместе обеспечивают определение набора атрибутов и классов объектов, которые будут использоваться для представления людей и организаций в виде записей в DIT. Это одна из наиболее широко используемых схем белых страниц .
X.509 , часть стандарта, обеспечивающая структуру аутентификации, теперь также широко используется вне протоколов каталогов X.500. Он определяет стандартный формат сертификатов открытых ключей.
Взаимосвязь цифровых сертификатов X.500 Directory и X.509v3
Текущее использование сертификатов X.509v3 вне структуры каталогов, загружаемой непосредственно в веб-браузеры, было необходимо для развития электронной коммерции, обеспечивая безопасную связь через Интернет (SSL / TLS), которая не требовала каталога X.500 в качестве источника цифровые сертификаты, изначально задуманные в X.500 (1988). Следует сопоставить роль X.500 и X.509, чтобы понять их взаимосвязь, поскольку X.509 был разработан как метод безопасного доступа для обновления X.500 до появления WWW, но когда веб-браузеры стали популярными, потребовалось простой метод шифрования соединений на транспортном уровне с веб-сайтами. Следовательно, доверенные корневые сертификаты для поддерживаемых центров сертификации были предварительно загружены в области хранения сертификатов на персональном компьютере или устройстве.
Дополнительная безопасность предусмотрена намеченной на 2011–2014 годы реализацией Национальной стратегии США по обеспечению надежной идентификации в киберпространстве - двух-трехлетнего проекта по защите цифровых идентификационных данных в киберпространстве.
Реализация X.509v3 для электронной коммерции через Интернет обошла, но не заменила исходный стандартный механизм аутентификации ISO для привязки выделенных имен в Справочнике X.500.
Эти пакеты сертификатов могут быть добавлены или удалены конечным пользователем в их программном обеспечении, но они проверяются Microsoft и Mozilla на предмет их постоянной надежности. Если возникнет проблема, например, с DigiNotar , специалисты по безопасности браузеров могут выпустить обновление, чтобы пометить центр сертификации как ненадежный, но это серьезное удаление этого центра сертификации из «интернет-доверия». X.500 предлагает способ просмотра того, какая организация запрашивает определенный корневой сертификат, помимо этого предоставленного пакета. Это может функционировать как «четырехугольная модель доверия», добавляя еще одну проверку, чтобы определить, не был ли скомпрометирован корневой сертификат. Правила, регулирующие политику Федерального моста для отзыва скомпрометированных сертификатов, доступны на сайте www.idmanagement.gov .
Контраст этого подхода, связанного с браузером, заключается в том, что в X.500 или LDAP атрибут «caCertificate» может быть «привязан» к записи каталога и проверяться в дополнение к предварительно загруженному по умолчанию набору сертификатов, которые конечные пользователи обычно никогда не замечали. если не появилось предупреждающее сообщение SSL.
Например, веб-сайт, использующий SSL, обычно DNS-имя сайта «www.foobar.com» проверяется в браузере программным обеспечением с использованием библиотек, которые проверяют, был ли сертификат подписан одним из доверенных корневых сертификатов, предоставленных Пользователь.
Следовательно, создание доверия для пользователей, что они попали на правильный веб-сайт через HTTPS.
Однако возможны и более строгие проверки, чтобы указать, что было проверено не только доменное имя. В отличие от X.500, сертификат является одним из многих атрибутов записи, в которой запись может содержать все, что разрешено конкретной схемой Справочника. Таким образом, X.500 действительно хранит цифровой сертификат, но это один из многих атрибутов, которые потенциально могут проверить организацию, например физический адрес, номер контактного телефона и контактную электронную почту.
Сертификаты CA или сертификаты центра сертификации загружаются в браузер автоматически (в случае механизма обновления Microsoft) или в обновлениях браузеров новой версии, и пользователю предоставляется дальнейший выбор для импорта, удаления или развития индивидуальных доверительных отношений с загруженные центры сертификации и определяют, как браузер будет вести себя, если серверы отзыва OCSP недоступны.
Это контрастирует с моделью Справочника, которая связывает атрибут caCertificate с перечисленным центром сертификации.
Таким образом, браузер может проверить сертификат SSL веб-сайта с помощью загруженной группы принятых сертификатов, или корневые сертификаты могут быть найдены в каталоге X.500 или LDAP (или через HTTP / S) и импортированы в список доверенных сертификатов. центры сертификации.
«Связанное» отличительное имя находится в полях темы сертификата, который соответствует записи Справочника. X.509v3 может содержать другие расширения в зависимости от заинтересованного сообщества, кроме международных доменных имен. Для широкого использования в Интернете RFC-5280 PKIX описывает профиль для полей, которые могут быть полезны для таких приложений, как зашифрованная электронная почта.
Конечный пользователь, который полагается на подлинность сертификата, представленного браузеру или электронной почте, не имеет простого способа сравнить представленный поддельный сертификат (который, возможно, вызывает предупреждение браузера) с действительным сертификатом, не имея также возможности проверить подлинность сертификата. DN или отличительное имя, которое было разработано для поиска в DIT X.500.
Сам сертификат является общедоступным и считается неподдающимся подделке и поэтому может распространяться любым способом, но связанная с ним привязка к идентичности происходит в Справочнике. Связывание - это то, что связывает сертификат с удостоверением личности, которое утверждает, что использует этот сертификат. Например, программное обеспечение X.500, которое запускает Федеральный мост, имеет перекрестные сертификаты, которые обеспечивают доверие между центрами сертификации.
Простое гомографическое сопоставление доменных имен привело к фишинговым атакам, когда домен может показаться легитимным, но это не так.
Если сертификат X.509v3 привязан к действительному отличительному имени организации в Справочнике, то можно выполнить простую проверку подлинности сертификата путем сравнения с тем, что отображается в браузере, с тем, что присутствует в Справочнике. .
Существуют некоторые варианты проверки нотариусов, чтобы убедиться, что сертификат только недавно был замечен и, следовательно, с большей вероятностью был скомпрометирован. Если сертификату можно доверять и он не работает из-за небольшого несоответствия доменного имени, тогда он сначала выйдет из строя в браузере, но затем будет подвергнут доверию нотариуса, который затем может обойти предупреждение браузера.
Допустимая организационная запись, такая как o = FoobarWidgets, также будет иметь связанный буквенно-цифровой OID, и она была «подтверждена идентичностью» ANSI, обеспечивая еще один уровень уверенности в отношении привязки сертификата к идентичности.
Недавние события (2011 г.) указали на угрозу со стороны неизвестных субъектов в национальных государствах, которые подделали сертификаты. Это было сделано для того, чтобы организовать атаку MITM на политических активистов в Сирии, заходящих в Facebook через Интернет. Обычно это вызвало бы предупреждение браузера, но не, если бы сертификат MITM был выпущен действительным центром сертификации, которому уже доверяет браузер или другое программное обеспечение. Подобные атаки использовались Stuxnet, что позволяло программному обеспечению выдавать себя за доверенный код. Смысл прозрачности сертификата состоит в том, чтобы позволить конечному пользователю с помощью простой процедуры определить, действительно ли сертификат действителен. Для этого может быть недостаточно проверки набора сертификатов по умолчанию, поэтому желательна дополнительная проверка. Также были выдвинуты другие предложения по прозрачности сертификатов.
Против Comodo, центра сертификации, была использована другая атака, в результате которой были получены поддельные сертификаты, направленные на известные коммуникационные веб-сайты. Это потребовало экстренного исправления для основных браузеров. Эти сертификаты были фактически выпущены доверенным центром сертификации, и поэтому пользователь не получил бы предупреждения, если бы он перешел на поддельный веб-сайт, в отличие от инцидента в Сирии, где сертификат был грубо подделан, включая замену Alto Palo на Palo. Альто. и неправильные серийные номера.
Некоторые проекты, предназначенные для обмена PHI, защищенной медицинской информацией (которая считается высоко чувствительной к HIPAA ), могут получать сертификаты X.509v3 через запись ресурса CERT DNS или через LDAP в каталог X.500 [2008]. Проблема авторитетного связывания подробно описывается в RFC, касающихся точности информации DNS, защищенной путем подписи от корня с использованием DNSSEC.
Концепция корневых серверов имен была источником серьезных разногласий в Интернет-сообществе, но для DNS в значительной степени решена. Традиционно считалось, что пространство имен, связанное с X.500, начинается с национального агентства по присвоению имен, что отражает подход ISO / ITU к глобальным системам с национальным представлением. Таким образом, разные страны создадут свои собственные уникальные сервисы X.500. USX500 был приватизирован в 1998 году, когда правительство США больше не предлагало регистрацию X.500 или DNS за пределами известных государственных учреждений.
Пилотный проект X.500 находится в стадии разработки в коммерческой сфере, и эта технология продолжает использоваться в крупных установках миллионов пользователей в корпоративных центрах обработки данных и в правительстве США для проверки подлинности.
Список стандартов серии X.500
| Номер ITU-T | ИСО / МЭК номер | Название стандарта |
|---|---|---|
| X.500 | ИСО / МЭК 9594-1 | Справочник: Обзор концепций, моделей и услуг |
| X.501 | ИСО / МЭК 9594-2 | Справочник: модели |
| X.509 | ИСО / МЭК 9594-8 | Справочник: структуры сертификатов открытых ключей и атрибутов |
| X.511 | ИСО / МЭК 9594-3 | Справочник: определение абстрактного сервиса |
| X.518 | ИСО / МЭК 9594-4 | Справочник: процедуры для распределенной работы |
| X.519 | ИСО / МЭК 9594-5 | Справочник: спецификации протокола |
| X.520 | ИСО / МЭК 9594-6 | Справочник: выбранные типы атрибутов |
| X.521 | ИСО / МЭК 9594-7 | Справочник: избранные классы объектов |
| X.525 | ИСО / МЭК 9594-9 | Справочник: репликация |
| X.530 | ИСО / МЭК 9594-10 | Справочник: Использование системного управления для администрирования Справочника |
Критика
Авторы RFC 2693 (в отношении SPKI ) отмечают, что «первоначальный план X.500 вряд ли когда-либо будет реализован. Коллекции записей каталога ... считаются ценными или даже конфиденциальными для владельцев списков и вряд ли будут выпущен в мир в виде поддерева каталогов X.500 ". и что «идея отличительного имени в X.500 (единое, глобально уникальное имя, которое каждый может использовать при обращении к объекту) также маловероятна».
«X.500 слишком сложен для поддержки на настольных компьютерах и через Интернет, поэтому LDAP был создан для предоставления этой услуги« всем остальным »».
Смотрите также
использованная литература
внешние ссылки
-
«RFC1485: строковое представление отличительных имен» . 1993 . Проверено 10 февраля 2021 .
Многие приложения OSI используют отличительные имена (DN), как определено в каталоге OSI, широко известном как X.500 [CCI88]. Эта спецификация предполагает знакомство с X.500 и концепцией отличительного имени.
- Чедвик, DW (1994). «Понимание X.500 - Справочник» . Проверено 6 декабря 2017 .
- X500Standard.com - сайт сообщества X.500, который одновременно является руководством по стандарту X.500 и репозиторием для существующих и новых работ, выполняемых над стандартом. в Wayback Machine (архивировано 4 января 2019 г.)