CNG Suite B obsahuje následující kryptografické algoritmy:
· AES – všechny velikosti klíčů
· rodina SHA-2 (SHA-256, SHA-384 a SHA-512) hashovacích funkcí
· ECDH (eliptický Diffie-Hellmanův algoritmus)
· ECDSA (eliptické podpisové schéma dle doporučení NISTu, nad prvočíselnými tělesy – P-256, P-384 a P-521)
Obrázek 1 Suite B
Online Certificate Status Protocol (OCSP)
V předchozích verzích Windows se pro kontrolu zda certifikát nebyl předčasně zneplatněn, používaly seznamy zneplatněných certifikátů tzv. CRL, které si klient vždy po určitém čase stahoval v podobě souboru. CRL obsahuje vždy sériové číslo zamítnutého certifikátu a důvod zneplatnění, a to pro všechny zamítnuté certifikáty, u nichž ještě neskončila jejich platnost v čase. Tento přístup má dvě nevýhody:
- Neaktuální informace: pokud se CRL aktualizuje např. 1x za týden, všichni klienti se dozvědí o nově zneplatněném certifikátu se zpožděním až jeden týden
- Příliš veliké CRL: s postupem času seznam CRL roste a klienti si tak zcela zbytečně kvůli ověření platnosti jednoho certifikátu stahují i několikamegabajtové CRL.
Řešením je implementace protokolu Online Certificate Status Protocol (OCSP). Princip tohoto protokolu je jednoduchý. Klient chce ověřit platnost certifikátu, a za tímto účelem posílá dotaz v reálném čase na službu OCSP Online Responder (jedna z rolí Windows Serveru 2008). Online Responder ověří platnost certifikátu na základě dat od certifikační autority a posílá klientovi ihned odpověď.
Výsledkem je tedy ověření platnosti certifikátu bez zpoždění a vždy se stejnou síťovou zátěží bez ohledu na množství zneplatněných certifikátů. Dotaz pomocí protokolu OCSP je podporován od Windows Vista.
Obrázek 2 Konfigurace OCSP
Nástroje pro vystavení certifikátu
Webové rozhraní
Možnost vystavení certifikátu přes webové rozhraní certifikační autority zůstala zachována, ale došlo k poměrně zásadní změně. Předchozí ovládací ActiveX prvek XEnroll.dll byl nahrazen jiným ovládacím prvek typu COM, což má např. tyto důsledky:
- Windows 2008 CA povolí přístup přes XEnroll.dll starším klinetům, ale novější klienti např. Windows Vista se nemohou připojit k webovému rozhraní starších CA, neboť neobsahují XEnroll.dll
- Není možné přes webové rozhraní vystavovat počítačové certifikáty
- Není možné přes webové rozhraní používat nové šablony certifikátů verze 3
- Webové rozhraní již neobsahuje možnost vystavit smart kartu pro někoho jiného
MMC modul snap-in Certifikáty
Další možností vystavení certifikátu je snap-in Certikáty, který má ale zcela nové možnosti:
- Vystavení více certifikátů najednou pomocí šablon certifikátů
- Vytvoření vlastního požadavku na certifikát
- Vystavení certifikátu za někoho (tzv. Enrollment agent)
Obrázek 3 Modul snap-in Certifikáty
Další novinky:
- Šablony certifikátů verze 3, které umožňují využití Suite-B
- Implementace služby Network Device Enrollment, která umožňuje vystavovat X. 509 certifikáty i síťovým prvkům jako např. routery či switche
- Zcelá nové politiky (Group Policy) pro různé aspekty chování Windows ve vztahu k certifikátům
- Služba Credential Roaming umožňuje přístup k certifikátům a soukromým klíčům uživatele na různých počítačích bez nutnosti používat uživatelské profily typu roaming
- Podora běhu certifikační autority na failover clusteru
- PKIview modul snap-in pro kontrolu prostředí s certifikační autoritou
Obrázek 4 PKIview
Zajímavé odkazy