声明
本文是学习信息安全技术 公钥基础设施 标准符合性测评. 下载地址 http://github5.com/view/782而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
公钥基础设施 术语和定义
GB/T 19713—2005、GB/T 19714—2005、GB/T 19771—2005、GB/T 20518—2018、GB/T 20520—2006、GB/T 25064—2010、GB/T 35285—2017、GB/T 25069—2010界定的术语和定义适用于本文件。
公钥基础设施 缩略语
下列缩略语适用于本文件。
| BES | 基本电子签名 | Basis Electronic Signature |
|---|---|---|
| CA | 认证机构 | Certification Authority |
| CPS | 认证惯例陈述 | Certification Practice Statement |
| CRL | 证书撤销列表 | Certificate Revocation List |
| ES | 电子签名 | Electronic Signature |
| ESS | 增强安全服务 | Enhanced Security Services |
| MIME | 多用途网络邮件扩充协议 | Multipurpose Internet Mail Extension |
| OCSP | 在线证书状态协议 | Online Certificate Status Protocol |
| OID | 对象标识符 | Object ID |
| PIN | 个人身份识别码 | personal identification number |
| PKCS | 公钥密码标准 | Public-Key Cryptography Standards |
| PKI | 公钥基础设施 | Public Key Infrastructure |
| RA | 注册机构 | Registration Authority |
| TSA | 时间戳机构 | Time Stamp Authority |
在线证书状态协议测评
总则
请求
测评依据见GB/T 19713—2005中5.2的内容。
开发者应提供文档,对所使用的在线证书状态协议进行说明。
测评方法如下。
- 由OCSP请求者发送多个不同状态证书的状态请求,检测OCSP响应器是否提供了正确的证书状态响应;
- 检测OCSP请求是否包含以下数据:协议版本、服务请求、目标证书标识符、其他扩展数据(如OCSP请求者的签名、随机数等);
- 使用工具发送不正确报文格式的请求,检测OCSP响应器是否发出错误信息;
- 使用工具发送响应器没有配置所要求服务的请求,检测OCSP响应器是否发出错误信息;
- 使用工具发送不完整信息的请求,检测OCSP响应器是否发出错误信息。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
响应
测评依据见GB/T 19713—2005中5.3的内容。
开发者应提供文档,对响应签名的密钥、响应消息格式、响应消息内容等进行说明。
测评方法如下。
- 模拟各种身份的OCSP请求者,发送多个不同状态证书的状态请求,OCSP响应请求,检测此过程中是否对所有明确的响应报文都进行数字签名。
- 检测响应签名的密钥是否为下列三种情况之一:
- 签发待查询证书的CA公钥,
- 可信赖的响应器的公钥,
- CA指定的响应器公钥。
- 由OCSP请求者发送多个不同状态证书的状态请求,检测OCSP响应器的响应消息中是否包含以下内容:
- 响应语法的版本,
- 响应器的名称,
- 对请求中每个证书的响应,
- 可选择的扩展,
- 签名算法的OID,
- 响应的杂凑值签名。
- 检测对请求中每个证书的响应,是否包含以下内容:
- 目标证书标识符,
- 证书状态值,
- 响应的有效期限,
- 可选的扩展。
- 检测OCSP响应消息中,证书状态值是否为以下三种响应标识符之一,并检测证书状态是否与实际一致:
- Good,表示对状态查询的肯定响应;
- Revoked(已撤销),表示证书已被撤销;
- Unknown(未知),表示响应器不能鉴别待验证状态的证书。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
异常情况
测评依据见GB/T 19713—2005中5.4的内容。
开发者应提供文档,对OCSP响应器返回的错误消息进行说明。
测评方法如下。
- 使用工具发送一个没有遵循OCSP语法的请求,检测OCSP响应器是否发出相应的错误信息;
- 使响应器处于非协调的工作状态,发送一个正常请求,检测OCSP响应器是否发出相应的错误信息;
- 使响应器处于不能返回所请求证书的状态,发送一个证书请求,检测OCSP响应器是否发出相应的错误信息;
- 使用工具发送一个没有签名的请求,检测OCSP响应器是否发出相应的错误信息;
- 使用工具发送一个未授权的请求,检测OCSP响应器是否发出相应的错误信息。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
thisUpdate、nextUpdate和producedAt的语义
测评依据见GB/T 19713—2005中第9章的内容。
开发者应提供文档,对thisUpdate、nextUpdate和producedAt的语义进行说明。
测评方法如下。
- 发送多个证书请求,检测OCSP响应消息是否包含以下时间字段:
- thisUpdate:此次更新时间;
- nextUpdate(可选字段):下次更新时间;若没有设置此字段,需指明随时可以获得更新的撤销信息;
- producedAt:签发时间。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
OCSP签名机构的委托
测评依据见GB/T 19713—2005中5.7的内容。
开发者应提供文档,对所使用的在线证书状态协议中OCSP签名机构的委托过程进行说明。
测评方法如下。
- 如果签署证书状态信息的密钥与签署证书的密钥不同,由CA向响应器签发一个含有extendedKeyUsage唯一值的证书;
- 发送一个证书状态查询请求,检测响应器能否用上述证书对证书状态信息进行签名。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
CA密钥泄露
测评依据见GB/T 19713—2005中5.8的内容。
开发者应提供文档,对CA密钥泄露时OCSP响应器的设置进行说明。
测评方法如下。
- 在OCSP响应器中,将某一个CA的状态设置为私钥泄露;
- 发送一个上述CA签发的证书状态查询请求,检测OCSP响应器能否返回上述CA签发的所有证书已撤销的状态信息。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
安全考虑
测评依据见GB/T 19713—2005中第8章的内容。
开发者应提供文档,对所使用的在线证书状态协议进行脆弱性分析。
测评方法如下。
- 查看开发者提供的脆弱性分析报告,检测OCSP系统能否抵御标准中的相关攻击(至少应该包括拒绝服务攻击和重放攻击)。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项满足。
延伸阅读
更多内容 可以点击下载 信息安全技术 公钥基础设施 标准符合性测评. http://github5.com/view/782进一步学习
