Проверка сертификатов
Обычно при проверке подписи проверяющая сторона, помимо прочего, должна убедиться, что сертификат содержит открытый ключ подписавшего. Однако, поскольку допускается, что СА может изменить свой ключ, существует ряд новых возможностей, которые приведены в таблице 18.1.
| Репозиторий содержит новый и старый открытые ключи | Репозиторий содержит только старый открытый ключ (например, задержка опубликования) | |||
| PSE содержит новый открытый ключ | PSE содержит старый открытый ключ | PSE содержит новый открытый ключ | PSE содержит старый открытый ключ | |
| Сертификат подписавшего защищен с использованием нового открытого ключа |
Случай 1: Это стандартный случай, когда проверяющий может непосредственно проверить сертификат без использования директории |
Случай 3: В этом случае проверяющий должен иметь доступ к директории, чтобы получить значение нового открытого ключа |
Случай 5: Хотя оператор СА не изменил директорию, проверяющий может проверить сертификат непосредственно – аналогично случаю 1 |
Случай 7: В этом случае оператор СА не изменил директорию, и проверка не проходит |
| Сертификат подписавшего защищен с использованием старого открытого ключа |
Случай 2: В этом случае проверяющий должен иметь доступ к директории, чтобы получить значение старого открытого ключа |
Случай 4: В этом случае проверяющий может непосредственно проверить сертификат без использования репозитория |
Случай 6: Проверяющий думает, что это ситуация случая 2 и хочет получить доступ к директории; однако проверка не проходит |
Случай 8: Хотя оператор СА не изменил директорию, проверяющий может проверить сертификат непосредственно – случай аналогичен случаю 4 |
