The Magic of Cryptographic Identifiers and Formats: OIDs, DER and ASN.1
“30” (Sequence), “06” (OID) and “03” (Byte sequence)
ASecuritySite: When Bob Met Alice
C ryptography has a little secret that keeps it so successful — it manages to seamlessly upgrade itself.
When a bug comes along, systems can update themselves almost instantly. And, when a method has been cracked or shows a vulnerability, we can easily update it. This has includes moving away from MD5 and SHA-1 towards SHA-256 hashes; moving from RC2 and RC4 towards AES and ChaCha-20 symmetric keys methods; and migrating from DSA towards ECDSA and RSA signatures.
At the core of this, is the way that systems can support a range of methods, and where we negotiate a cryptographic contract based on a number of possible cryptographic suites. This might have the options for different hashing methods (eg MD5, SHA-1 and SHA-256), different symmetric key methods (eg AES, ChaCha-20 and DES), and different signature methods (eg DSA, ECDSA and EdDSA).
The client often presents a range of possible cryptographic suites it can support, and the server will pick one from this list and agree for it to be used. But, we need a way for every system to know the different cryptographic methods, the format of encryption keys, and so on. One way of defining the methods we are using is to use an OID (Object Identifier). We then need to represent binary data — such as for encryption keys and digital certificates — in a way that can be transmitted in an ASCII text form. For this, we have Distinguished Encoding Rules (DER) encoding of ASN.1 (Abstract Syntax Notation One).
Standardizing encoding and abstracting
We need ways to distribute our public keys, private keys and digital certificates in a portable format. One of the most common forms is Distinguished Encoding Rules (DER) encoding of ASN.1 (Abstract Syntax Notation One). Overall, these encode the binary data into a format which can be ported from one system to another.
The other common format is PEM, and which converts the binary encoding into a text readable format. This is commonly used to send keys over email or text-based communication channels. With PEM we can encode cryptographic information in a Base64 ASCII…
Область действия сертификата — Как определить? OID
OIDы (Object Identifier — Объектные идентификаторы рус.) — это необязательный атрибут сертификата электронной подписи, который либо предоставляет дополнительную информацию о владельце, ключах, УЦ, либо несёт какую-то дополнительную информацию для приложений и сервисов, которые используют этот сертификат.
В формате электронного сертификата X.509 предусмотрено сохранение таких дополнительных атрибутов (extensions).
Чаще всего OIDы используют для управления доступами на основе ролей. Например, в сертификате можно прописать, что владелец ключа является руководителем организации, и это даст ему возможность сразу во всех информационных системах (ИС) получить доступ к нужным функциям и сведениям, без необходимости связываться с администраторами каждой ИС и менять настройки доступа. Все это конечно при условии, что все эти ИС используют сертификат пользователя для его авторизации и анализируют один и тот-же атрибут одинаковым образом (для того-то атрибуты и выбираются из справочника, а не задаются произвольно).
Oid сертификата что это
Что такое OID (Object Identifier — Объектные идентификаторы)?
OIDы — это дополнительный и необязательный атрибут сертификата, который либо предоставляет дополнительную информацию о владельце, ключах, УЦ, либо несёт какую-то дополнительную информацию для приложений и сервисов, которые используют этот сертификат.
В формате электронного сертификата X.509 предусмотрено сохранение таких дополнительных атрибутов (extensions).
Чаще всего OIDы используют для управлени доступами на основе ролей. Например, в сертификате можно прописать, что владелец ключа является руководителем организации, и это даст ему возможность сразу во всех информационных системах (ИС) получить доступ к нужным функциям и сведениям, без необходимости связываться с администраторами каждой ИС и менять настройки доступа. Все это конечно при условии, что все эти ИС используют сертификат пользователя для его авторизации и анализируют один и тот-же атрибут одинаковым образом (для того-то атрибуты и выбираются из справочника, а не задаются произвольно).
Что такое «сертификат электронной подписи» и зачем он нужен
Сертификат электронной подписи — это официальное свидетельство, подтверждающее, что эта подпись принадлежит определённому человеку.
Сертификат может быть оформлен как на бумажном носителе, так и в электронном формате. Файл сертификата представлен в формате .cer и с его помощью проверяют подлинность электронной подписи при её использовании.
Из чего состоит сертификат электронной подписи
Обычно сертификат подтверждает принадлежность электронной подписи определённому человеку. Исключением является обезличенная подпись — в её сертификате не указывают владельца, а сама она используется только для работы в информационных системах.
В сертификате обязательно должна быть следующая информация:
- уникальный номер;
- даты начала и окончания срока действия;
- Ф.И.О. — для физических лиц, наименование и местонахождение — для юридических лиц;
- уникальный ключ проверки электронной подписи;
- наименование используемого средства электронной подписи;
- название удостоверяющего центра, выдавшего сертификат.
На основе этой информации и проходит проверка сертификата ключа подписи.
Если электронная подпись выдаётся на юридическое лицо, то в сертификате в качестве владельца указывают человека, действующего от имени этого юридического лица: руководителя или сотрудника.
Что такое OID в ЭЦП
OID сертификата (Object Identifier) — необязательный атрибут в составе электронной подписи, который предоставляет дополнительные данные о ключах, владельце, удостоверяющем центре и т.д. Обычно OID в электронной подписи используют для того, чтобы разграничивать доступ на основе ролей.
Владельцы электронной подписи могут иметь разные полномочия, которые и выдаются с помощью OID ЭЦП. Ниже приведены их примеры:
- администратор организации — OID 1.2.643.6.3.1.4.1;
- уполномоченный специалист — OID 1.2.643.6.3.1.4.2;
- специалист с правом подписи контракта — OID 1.2.643.6.3.1.4.3.
Узнать о том, какой установлен Object Identifier в сертификате можно. Для этого выполните следующие действия:
- Откройте файл сертификата ЭЦП.
- Перейдите на вкладку «Состав».
- Найдите поле «Улучшенный ключ» и кликнете на него.
- В окошке ниже вы найдёте информацию о полномочиях.
Как добавить OID в ЭЦП
Если сертификат уже выпущен, добавить в него идентификатор объекта нельзя. Чтобы провести регистрацию OID сертификатов, эти сертификаты нужно перевыпускать.
Плюсы электронной подписи
Электронная подпись нужна для ведения современного бизнеса: с её помощью ведут электронный документооборот, отправляют отчётность, регистрируют онлайн-кассу. Подпись используют для работы на государственных порталах и участия в торгах по 44-ФЗ и 223-ФЗ.
Работа с документами в электронном формате в несколько раз быстрее, чем с их бумажными аналогами, при этом сокращаются расходы на канцелярию. Электронная подпись в этом случае нужна для того, чтобы придать документам юридическую значимость.
Подпись невозможно подделать, потому что она создаётся с помощью криптографических алгоритмов. Поэтому одно из её главных преимуществ — безопасность.
Как получить электронную подпись
Индивидуальные предприниматели и руководители юридических лиц получают электронную подпись в УЦ ФНС, а физические лица и сотрудники — в аккредитованных удостоверяющих центрах.
Заявитель обязательно проходит идентификацию согласно требованиям п.1 ст. 18 п.1 63-ФЗ.