en:esya:sertifika:sertifika-dogrulama-aracları
Farklar
Bu sayfanın seçili sürümü ile mevcut sürümü arasındaki farkları gösterir.
|
en:esya:sertifika:sertifika-dogrulama-aracları [2013/07/29 12:15] Dindar Öz created |
en:esya:sertifika:sertifika-dogrulama-aracları [2013/08/21 06:18] (mevcut) Dindar Öz |
||
|---|---|---|---|
| Satır 1: | Satır 1: | ||
| - | ====== Sertifika Doğrulama ====== | + | ====== Certificate Validation ====== |
| - | ===== Sertifikalar ===== | + | ===== Certificates ===== |
| - | Sertifikalar kısaca bir PKI anahtar çifti ile herhangi bir bilgiyi (kimlik bilgisi , yetki, rol vb.), kriptografik olarak ispatlanabilir ve inkar edilemez bir şekilde birbirine bağlayan veri yapılarıdır. Bu anahtar çifti ile veri imzalama, şifreleme, kimlik doğrulama gibi temel PKI işlemleri gerçekleştirilebilmektedir. Bir sertifikanın güvenilirliği, seritifikanın güvenilir bir makam (yayıncı kuruluş) tarafından taklit edilemez bir şekilde imzalanmış olmasından kaynaklanmaktadır. Bu imza sertifikanın üzerinde yer almaktadır ve açık anahtar altyapısının doğası gereği istenildiğinde rahatlıkla doğrulanabilmektedir. Yayıncı kuruluşlar doğrudan güvenin kaynağı olabileceği gibi kendileri de bir başka güvenilir kaynaktan sertifika yayınlama sertifikası almış olabilirler. Birinci durumdaki kuruluşlara **kök sertifika makamı(KSM)** , ikinci durumdaki ara makamlara ise **sertifika makamı(SM)** denilmektedir. Kök sertifika makamları, güveni kendisinden var olan ve kendi sertifikasını kendisi imzalayan son derece güvenilir olduğu düşünülen kuruluşlardır. Sertifika imzalama fonksiyonu olmayan diğer amaçlarla kullanılan sertifikalara **kullanıcı sertifikası** denilir. Bir kullanıcı sertifikası için o sertifikadan başlayan sertifika imzalama (sertifika yayınlama) ilişkisi ile oluşan ve kök sertifika makamına kadar giden sertifika listesine **sertifika zinciri** denir. Bir kullanıcı sertifikasına güvenilebilmesi için herşeyden once bu sertifikanın güvenilen bir SM ya da KSM sertifikasında sonlanan bir sertifika zincirine sahip olması gerekir. Bir sertifikanın güvenilir olup olmadığının ve dolayısıyla kullanılmakta olduğu iş (imzalama, şifreleme, kimlik doğrulama vb.) için uygun olup olmadığının bütün yönleriyle kontrol edildiği işlemler bütünü **sertifika doğrulama** işlemi olarak isimlendirilmektedir. | + | Certificates,in short, a digital data that cryptographically binds a key pair and any information (identity info, authority info, role etc.) in a provable and undeniable way. Data signing, encyption , authentication are some of the basic PKI operations that can be performed with the key pair in certificates. The credibility of the certificate stems from the inimitable signature issued by trusted authority (CA). This signature is included in the certificate and can be verified when needed. The **CA** can either be the source of the trust itself or its trust can come from another trusted authority (Root CA ) via CA certificate issued by the Root CA. **The Root CA** has trust on its own and its certificate issued by itself. The certificates that are not used for certificate signing and used for other purposes are called as **user certificates**. For a user certificate, the chain of certificates starting from that certificate, going thorugh the certificate issuance relation and ending at the Root CA's certificate is named as **certificate chain**. In order for a user certificate to be trusted, firstly, a certificate chain starting from the user certificate and ending at a trusted CA or Root CA's certificate must exist. The total process of checking if a certificate can be trusted and valid and therefore can be used for the applied job is called **certificate validation**. |
| - | + | ||
| - | Bütün dünyada farklı SM'lerin farklı amaçlarla yayınladığı sertifikaların ortak bir yapısı olması amacıyla bir takım standartlar tanımlanmıştır. X509 bu anlamda dünyaca kabul gören bir açık anahtar altyapısı (PKI) standartıdır. Bu standartta açık anahtar altyapısının en temel nesneleri olan , sertifikalar ve bu sertifikaların iptal durumlarının raporlandığı SİL'ler yapısal detaylarıyla tanımlanmıştır. X.509 standardına uyumlu sertifika ve SİL'lerin yapısı ve doğrulama adımları RFC 5280'de yer almaktadır. | + | |
| - | Sertifika yayınlayan kuruluşlar sertifika oluşturmanın yanı sıra, çeşitli sebeplerden ötürü yayınlamış olduğu sertifikaların geçerliliklerini iptal edebilirler. Bu durumda bu sertifikalar geçersiz, başka bir ifade ile güvenilmez olurlar. Örneğin bir sertifikaya ilişkin özel anahtarın istenmeyen kişiler tarafından ele geçirilmesi sebebiyle, sertifika sahibinin yayıncı SM'ye bildirmesi sonucu SM tarafından bu sertifikanın iptali işlemi gerçekleştirilir. Kullanıcı sertifikalarının doğrulanmaya ihtiyaç duyulduğu yerlerde güvenli bir şekilde doğrulanabilmesi için bu sertifika iptal bilgilerinin güvenli ve kolay bir şekilde ulaşılabilir olması gerekmektedir. Bu işlem için iki yöntem kullanılmaktadır. Sertifikaların iptal durumlarının çevrimiçi yollarla gerçek zamanlı olarak sorgulandığı Çevrimiçi Sertifika Durum Protokolü(ÇİSDUP) ve iptal edilmiş sertifikaların iptal bilgilerinin bir veri yapısı oluşturularak dosya tabanlı olarak yayınlandığı SİL'ler. Bu iki yöntem de yine bütün dünyada aynı şekilde uygulanması ve uyumluluk amacıyla belirli standartlar çerçevesinde gerçekleştirilir. | + | In order to provide a common structure for the certificates published for different purposes all over world, there are some standards defined the most widely accepted of which is X.509. In X.509 standard, certificates and CRLs are defined with their structural details. RFC 5280 document contains X.509 standard and it also includes a description of the validation process of X.509 certificates. |
| - | ===== Çevrimiçi Sertifika Durum Protokolü (ÇİSDUP) ===== | + | Certificate Authorities (CAs) beside issuing certificates, can revoke them due to several reasons. In that case these certificates become invalid and can not be trusted anymore. For example, when the private key of a certificate is acquired by unwanted people, due to the notification of this to the corresponding CA, the CA performs the revocation of the certificate. In order for user certificates to be validated in a secure manner, the revocation information of those certificates must be securely and easily accessible. Two methods are used for this, one is the online certificate status protocol (OCSP) in which the status of the certificates are queried online and the other one is CRLs in which the revoked certificates are periodically published in a file. These two methods, like certificates, are defined by standards commonly accepted and complied all over the world. |
| - | RFC 2560'da tanımlı protokole uygun olarak bir veya daha fazla sertifikanın iptal durumunun bir sunucu vasıtasıyla çevrimiçi olarak sorgulanması yöntemidir. İngilizce kısaltmasıyla (OCSP) daha yaygın bilinen bu yöntemde, temel olarak bir OCSP sorgusuna karşın sunucunun cevap olarak gönderdiği bir OCSP cevabı söz konusudur. Bu cevapta sertifikanın geçerlilik durumu yeralmaktadır. Bu sorgu geçerlilik süresi dolmuş sertifikalar için yapılamaz. Protokolün detayları ilgili RFC'de yer almaktadır. | ||
| - | ===== SİL Dosyaları ===== | + | ===== Online Certificate Status Protocol (OCSP) ===== |
| - | Yine X509 standardında sertifika iptal bilgilerinin listelendiği SİL dosyalarının yapısal özellikleri detaylı olarak tanımlanmıştır. SİL dosyaları temel olarak iptal edilmiş sertifikaların listesi ve bu listenin SM tarafından ya da SM tarafından yetkilendirilmiş başka bir makam tarafından oluşturulmuş imzasından oluşur. Bu listede geçerlilik süresi dolmuş sertifikalar bulunmaz. Bir sertifikanın iptal durumu kontrol edilirken bir SİL'e başvurulduğunda öncelikle bu SİL'in de X509'a uygunluğu ve geçerliliği kontrol edilmelidir. SİL için yapılması gereken bu kontroller bütününe de **SİL doğrulama** denilir. SİL dosyalarının yapısal detayları RFC 5280'de yer almaktadır. | + | OCSP,defined in RFC 2560, is a protocol which enables querying of one or more certificates' revocation status information online. The protocol is initiated by an OCSP request and ends with an OCSP response generated by an OCSP server which includes the validity status ofthe queried certificates.OCSP queries can not be performed for |
| + | expired certificates. For more details about the protocol, see the RFC 2560 document. | ||
| - | ===== X509 Sertifika ve SİL Doğrulama ===== | + | ===== CRL Files ===== |
| - | Sertifika ve SİL doğrulama işlemi sertifikanın ya da SİL'in güvenilir bir yetkili makam sertifikasına kadar uzanan sertifika zincirinin oluşturulması (**path building** ) ve bu zincir üzerindeki bütün sertifikaların ve zincir ilişkisinin doğrulanmasından oluşan (**path validation**) iki alt kısımda incelenebilir. | + | The structural details of CRL files is specified in X509 standard. A CRL mainly consists of a list of serial numbers of revoked certificates and a signature of this list created by the CA or any other authority assigned by the CA. Expired certificates are not listed in CRL. When a CRL is checked upon revocation control of a certificate, firstly, its X509 compatibility and signature must be validated which is called CRL validation. |
| + | For detailed information about CRL files RFC 5280 can be seen. | ||
| - | Zincir doğrulama işlemi, zincir üzerindeki sertifikaların doğrulanması (**yapısal doğrulama**) ve zincir ilişkisinin doğrulanması (**zincir doğrulama**) şeklinde iki temel bölümden oluşur. Yapısal doğrulamada sertifika veya SİL'in X509'da belirtilen yapısal özellikler karşılayıp karşılamadığına bakılır. Başka bir ifadeyle Sertifika veya SİL'in üzerinde yer alan bilgilerin standarda uygunluğu ve standarda gore geçerliliği kontrol edilir. Örneğin sertifikada seri numarası alanının olup olmadığına ve bu alanın pozitif bir sayı olup olmadığına bakılır. Ya da bir sertifikanın üzerinde yazan, geçerlilik başlangıç ve bitiş tarihlerinin doğrulama zamanını kapsayıp kapsamadığı yapısal bir doğrulama adımıdır. | + | ===== X509 Certificate and CRL Validation ===== |
| - | + | ||
| - | Esya Sertifika Doğrulama Kütüphanesi yapısal doğrulama kapsamında RFC 5280'de tanımlı bütün yapısal özellikleri kontrol eder. Zincir oluşturma algoritması olarak RFC 4158'de tanımlı zincir oluşturma algoritmasını ve zincir doğrulama algoritması olarak yine RFC 5280'de tanımlanmış zincir doğrulama algoritmasını gerçekler. | + | |
| - | ==== Sertifika Zinciri Oluşturma ==== | + | Certificate and CRL validation consist of two phases namely path building and path validation. Creating a certificate chain starting from the certificated or crl to be validated and ending at a certificate of a trusted authority is called path building. The validation of the all certificates and the chain relation in a certificate chain is called path validation. |
| - | Zincir oluşturma algoritması RFC 4158'de detaylı bir şekilde anlatılmaktadır. Algoritma bir başlangıç sertifikasından başlayarak güvenilir bir kök sertifikaya ulaşıncaya kadar adım adım ilerleyerek bir sertifika zinciri oluşturur. Örneğin şekildeki gibi kurgulanmış bir sertifika ağacı olduğunu düşünelim. | + | The validation of the certificates in the chain is called **structural validation** and the validation of the chain relation is called **chain validation**. In structural validation the certificates or the crl is checked if it satisfies the structural characteristics specified in X509. In other words, the information in the certificate or crl is validated according to the standard. For example, it is checked if the certificate has a serial number and it is a positive number. The validity period included in the certificate is checked if it covers the validation time which is another example of structural validation operations. |
| + | |||
| + | ESYA Certificate Validation API checks for all structural specifications included in RFC 5280 within the structural validation. It performs the path building algorithm described in RFC 4158 and the path validation algorithm described in RFC 5280. | ||
| + | |||
| + | ==== Certificate Path Building ==== | ||
| + | |||
| + | Path building algorithm is described in RFC 4158 in detail. The algorithm starts from an initial certificate, which is the certificate to be validated, and iteratively add the issuer of the certificate to the certificates chain until a trusted root certificate is reached. For examplei let us consider the certificate tree demonstrated in the figure below; | ||
| {{ :esya:sertifika:13.png |Şekil 13 Örnek Sertifika Ağacı}} | {{ :esya:sertifika:13.png |Şekil 13 Örnek Sertifika Ağacı}} | ||
| - | Sertifika ağacında **TA** ile gösterilen sertifika güvenilir bir SM ya da KSM sertifikasını temsil etmektedir. Bu durumda E sertifikasının **E**'den başlayarak **B** , **A** veya **C**'den geçerek **TA**'da biten bir sertifika zinciri oluşturulur. | + | In the tree, the certificate named as **TA** is the certificate of a trusted CA. In this case, path building algorithm creates a certificate chain for E, starting from **E**,including **B** , **A** or **C** and ending at **TA**. |
| - | + | ||
| - | Sertifika zinciri: **E -> B -> A -> TA** | + | The certificate chain: **EE -> B -> A -> TA** |
| - | ==== Sertifika Zinciri Doğrulama ==== | + | ==== Certificate Path Validation ==== |
| - | Bir sertifika zinciri oluşturulduktan sonra bu zincirin doğrulanması gerekmektedir. Şekilde zincir doğrulama algoritmasının akış diyagramı görülmektedir. | + | The chain created by the path building algorithm must be validated. The path validation algorithm is described by the flow diagram as follows: |
| {{ :esya:sertifika:14.png | Şekil 14 Zincir Doğrulama Aktivite Diyagramı}} | {{ :esya:sertifika:14.png | Şekil 14 Zincir Doğrulama Aktivite Diyagramı}} | ||
| + | For more details about // Certificate Processing amd Finalization Steps // shown in the figure exist in RFC 5280. In sort, it includes a set of structural and cryptografic validations. | ||
| - | Şekilde yer alan //Sertifika İşleme ve Sonlandırma Kontrolleri// işlemlerinin detayları RFC 5280'de verilmekte olup kısaca bir takım yapısal ve kriptografik kontrollerden oluştuğu söylenebilir. | + | CRL validation is almost the same as certificate validation. The only difference is the first element of the certificate chain is the certificate to be validated in certificate validation whereas the first element is the crl to be validated in crl validation. |
| - | SİL doğrulama işlemi sertifika doğrulama işlemi ile hemen hemen aynıdır. Aradaki tek fark sertifika doğrulamada oluşturulan zincirin ilk elemanı bir kullanıcı sertifikası iken SİL doğrulamada oluşturulan zincirin ilk elemanının bir SİL olmasıdır. Ve tabii ki SİL'in yapısal doğrulamasında sertifika yerine SİL'in yapısal özellikleri doğrulanmaktadır. Bunun dışında temel akış, sertifika doğrulama ile aynıdır. | ||
en/esya/sertifika/sertifika-dogrulama-aracları.1375100123.txt.gz · Son değiştirilme: 2013/07/29 12:15 Değiştiren: Dindar Öz
Aksi belirtilmediği halde, bu wikinin içeriğinin telif hakları şu lisans ile korunmaktadır: CC Attribution-Share Alike 3.0 Unported
