X.500

X.500 ist eine Reihe von Computernetzwerksstandards, die elektronisch abdecken Verzeichnisdienste. Die X.500 -Serie wurde von der entwickelt Telekommunikationsstandardisierungssektor der Internationalen Telekommunikationsunion (Itu-t). ITU-T war früher als Beratungsausschuss für internationale Telefonie und Telegraphie (CCITT) bekannt. X.500 wurde 1988 zuerst genehmigt.^[1] Die Verzeichnisdienste wurden entwickelt, um die Anforderungen von zu unterstützen X.400 elektronischer Mail -Austausch und -Schall suchen. Das Internationale Standardisierungsorganisation (ISO) und Internationale Elektrotechnische Kommission (IEC) waren Partner bei der Entwicklung der Standards und nahmen sie in die ein Offene Systemverbindung Suite von Protokollen. ISO/IEC 9594 ist die entsprechende ISO/IEC -Identifizierung.

X.500 Protokolle

Die durch X.500 definierten Protokolle umfassen:


Protokollname	Beschreibung	Spezifikation definieren*
Verzeichniszugriffsprotokoll (DAP)	"Definiert den Austausch von Anfragen und Ergebnissen zwischen einem Dua und einer DSA." So interagiert ein Client mit dem Verzeichnissystem.	ITU Empfehlung X.511
Verzeichnissystemprotokoll (DSP)	"Definiert den Austausch von Anfragen und Ergebnissen zwischen zwei DSAs." So interagieren zwei Verzeichnisserver miteinander.	ITU Empfehlung X.518
Verzeichnisinformationen Schattenprotokoll (disp)	"Definiert den Austausch von Replikationsinformationen zwischen zwei DSAs, die Schattenvereinbarungen festgestellt haben." Auf diese Weise replizieren Verzeichnisserver Informationen.	ITU Empfehlung X.525
Verzeichnis Operational Bindings Management Protocol (DOP)	"Definiert den Austausch von Verwaltungsinformationen zwischen zwei DSAs zur Verwaltung von Betriebsbindungen zwischen ihnen." Auf diese Weise verwalten Verzeichnisse Vereinbarungen, wie z. B. diejenigen, die sich auf die Replikation beziehen, zwischeneinander.	ITU Empfehlung X.501
Abonnementprotokoll für Zertifikatbehörden (CASP)		ITU Empfehlung X.509
Autorisierungsvalidierungsmanagementprotokoll (AVMP)		ITU Empfehlung X.509
Trust Broker Protocol (TBP)		ITU Empfehlung X.510

* Diese Protokolle sind typischerweise in mehreren Spezifikationen und ASN.1 -Modulen einstellbar definiert. Die obige Spalte "Spezifikation definieren" zeigt (subjektiv) an, welche Spezifikation am spezifisch zu einem Protokoll beiträgt.

Weil diese Protokolle die verwendeten Osi Networking -Stack wurde eine Reihe von Alternativen zu DAP entwickelt, mit denen Internet -Clients auf das X.500 -Verzeichnis zugreifen können TCP/IP Networking -Stack. Die bekannteste Alternative zu DAP ist das leichte Verzeichnis-Zugangsprotokoll (LDAP). Während DAP und die anderen X.500 -Protokolle jetzt den TCP/IP -Networking -Stack verwenden können, bleibt LDAP ein beliebtes Verzeichnis -Zugangsprotokoll.

Transportprotokolle

Die X.500 -Protokolle verwenden traditionell die Osi Networking -Stack. Das leichte Verzeichnis -Zugangsprotokoll (LDAP) verwendet TCP/IP für den Transport. In späteren Versionen der ITU-Empfehlung X.519 wurden die IDM-Protokolle (Internet direkt zugeordnet) eingeführt, um X.500-Protokolldateneinheiten (PDUs) über den TCP/IP-Stack zu ermöglichen. Dieser Transport beinhaltet den ISO-Transport über TCP sowie ein einfaches rekordbasiertes Binärprotokoll zum Rahmenprotokoll-Datagramme.

X.500 Datenmodelle

Das primäre Konzept von X.500 ist, dass es eine einzelne gibt Verzeichnisinformationsbaum (DIT), eine hierarchische Organisation von Einträgen, die auf ein oder mehrere Server verteilt sind, genannt Verzeichnissysteme (DSA). Ein Eintrag besteht aus einer Reihe von Attributen, jedes Attribut mit einem oder mehreren Werten. Jeder Eintrag hat eine einzigartige Distinguished Name, gebildet durch Kombination seiner Relativ angesehener Name (RDN), eine oder mehrere Attribute des Eintrags selbst und die RDNs jeder der überlegenen Einträge bis zur Wurzel des DIT. Da LDAP ein sehr ähnliches Datenmodell mit dem von X.500 implementiert LDAP.

X.520 und X.521 bieten zusammen eine Definition einer Reihe von Attributen und Objektklassen, die zur Darstellung von Personen und Organisationen als Einträge in der DIT verwendet werden sollen. Sie sind eines der am weitesten verbreiteten Weißes Seitenschema.

X.509Der Teil des Standards, der ein Authentifizierungsgerüst bereitstellt, wird jetzt außerhalb der X.500 -Verzeichnisprotokolle weit verbreitet. Es gibt ein Standardformat für öffentliche Zertifikate an.

Die Beziehung des X.500 -Verzeichnisses und des X.509V3 Digitalen Zertifikate

Die aktuelle Verwendung von X.509V3 -Zertifikaten außerhalb der Verzeichnisstruktur, die direkt in die Verzeichnisstruktur geladen wurde Internetbrowser war für die Entwicklung von E-Commerce erforderlich, indem eine sichere webbasierte (SSL/TLS) -Kommunikation ermöglicht wurde, für die das X.500-Verzeichnis nicht als Quelle digitaler Zertifikate erforderlich war, wie sie ursprünglich in X.500 (1988) konzipiert wurde. Man sollte die Rolle von X.500 und X.509 kontrastieren, um ihre Beziehung in diesem X.509 als sichere Zugriffsmethode für die Aktualisierung von X.500 vor dem WWW zu verstehen. Wenn Webbrowser jedoch populär wurden, musste es eine geben Einfache Methode zur Verschlüsselung von Verbindungen auf der Transportschicht zu Websites. Daher wurden die vertrauenswürdigen Stammzertifikate für unterstützte Zertifikatbehörden in Zertifikatspeicherbereiche auf dem PC oder Gerät vorgeladen.

Eine zusätzliche Sicherheit wird durch die geplante Umsetzung der USA 2011-2014 vorgesehen Nationale Strategie für vertrauenswürdige Identitäten im Cyberspace, ein zwei- bis dreijähriges Projekt, das digitale Identitäten im Cyberspace schützt.^[2]

Die WWW-E-Commerce-Implementierung von X.509V3 umgangen jedoch den ursprünglichen ISO-Standardauthentifizierungsmechanismus der Bindungsnamen im X.500-Verzeichnis ersetzt.

Diese Pakete mit Zertifikaten können vom Endbenutzer in seiner Software hinzugefügt oder entfernt werden, werden jedoch von Microsoft und Mozilla in Bezug auf ihre fortgesetzte Vertrauenswürdigkeit überprüft. Sollte ein Problem auftreten, wie zum Beispiel das, was mit dem passiert ist Diginotar, Browser -Sicherheitsexperten können ein Update zur Markierung einer Zertifikatbehörde als nicht vertrauenswürdig ausstellen. Dies ist jedoch eine ernsthafte Entfernung dieser CA aus dem "Internet -Trust". X.500 bietet eine Möglichkeit, zu sehen, welche Organisation ein bestimmtes Root -Zertifikat außerhalb des bereitgestellten Bündels beansprucht. Dies kann als "4 -Ecke -Vertrauensmodell" fungieren, um eine weitere Überprüfung hinzuzufügen, um festzustellen, ob ein Stammzertifikat beeinträchtigt wurde. Regeln für die Federal Bridge -Richtlinie für die Widerruf von kompromittierten Zertifikaten sind zur Verfügung www.idmanagement.gov.

Der Kontrast dieses Browser-Bündelansatzes besteht darin Es sei denn, eine SSL -Warnmeldung ist erschienen.

Beispielsweise wird eine Website, die SSL verwendet, in der Regel der DNS -Site -Name "www.foobar.com", in einem Browser von der Software unter Verwendung von Bibliotheken überprüft, um festzustellen, ob das Zertifikat von einem der vertrauenswürdigen Stammzertifikate unterzeichnet wurde der Nutzer.

Erstellen Sie daher Vertrauen für Benutzer, dass sie über HTTPS die richtige Website erreicht hatten.

Es sind jedoch auch stärkere Überprüfungen möglich, um anzuzeigen, dass mehr als der Domänenname überprüft wurde. Um dies mit X.500 zu kontrastieren, ist das Zertifikat ein Attribut vieler für einen Eintrag, in dem der Eintrag alles, was durch das spezifische Verzeichnisschema zulässig ist, enthalten könnte. Somit speichert X.500 das digitale Zertifikat, ist jedoch eines von vielen Attributen, die die Organisation potenziell überprüfen könnten, z. B. die physische Adresse, eine Kontakt -Telefonnummer und einen E -Mail -Kontakt.

CA Certs oder Certificate Authority Certs werden automatisch in den Browser (im Fall des Microsoft -Update -Mechanismus) oder in neuen Versionsaktualisierungen von Browsern geladen, und der Benutzer wird weitere Möglichkeiten zum Importieren, Löschen oder Entwickeln einer individuellen Vertrauensbeziehung mit dem erhalten Laden Sie die Zertifikatbehörden und bestimmen, wie sich der Browser verhalten wird, wenn OCSP -Widerrufserver nicht erreichbar sind.

Dies steht im Gegensatz zu dem Verzeichnismodell, das das Attribut assoziiert Kakertifikat mit einer aufgelisteten Zertifikatbehörde.

Somit kann der Browser das SSL -Zertifikat der Website mittels der geladenen Gruppe akzeptierter Zertifikate überprüfen, oder die Stammzertifikate können in einem X.500- oder LDAP Zertifikatbehörden.

Der "gebundene" angesehene Name befindet sich in den Betrefffeldern des Zertifikats, das dem Verzeichniseintrag entspricht. X.509V3 kann andere Erweiterungen enthalten, abhängig von der Interessengemeinschaft als internationale Domain -Namen. Für die breite Internetnutzung beschreibt RFC-5280 PKIX ein Profil für Felder, das für Anwendungen wie verschlüsselter E-Mail nützlich sein kann.

Ein Endbenutzer, der sich auf die Echtheit eines Zertifikats an einem Browser oder einer E -Mail angewiesen ist, hat keine einfache Möglichkeit, ein gefälschtes Zertifikat zu vergleichen (möglicherweise eine Browser -Warnung) mit einem gültigen Zertifikat, ohne auch die Möglichkeit zu erhalten, die zu validieren DN oder Distinguished Name, der in einem X.500 -DIT nachgeschlagen werden sollte.

Das Zertifikat selbst ist öffentlich und als unversöhnlich angesehen und kann daher in irgendeiner Weise verteilt werden, aber eine damit verbundene Bindung an eine Identität tritt im Verzeichnis auf. Bindung verbindet das Zertifikat mit der Identität, die behauptet, dieses Zertifikat zu verwenden. Die X.500 -Software, die die Federal Bridge betreibt, verfügt beispielsweise über Kreuzzertifikate, die das Vertrauen zwischen den Zertifikatbehörden ermöglichen.

Eine einfache homographische Übereinstimmung von Domainnamen hat zu Phishing -Angriffen geführt, bei denen eine Domäne legitim zu sein scheint, aber nicht.

Wenn ein X.509V3 -Zertifikat an den erkennten Namen einer gültigen Organisation innerhalb des Verzeichnisses gebunden ist, kann eine einfache Überprüfung in Bezug auf die Authentizität des Zertifikats durch einen Vergleich mit dem durchgeführt werden, was dem Browser mit dem, was im Verzeichnis vorhanden ist .

Es gibt einige Optionen, um Notare zu überprüfen, um festzustellen, ob ein Zertifikat erst in letzter Zeit gesehen wurde, und daher eher kompromittiert.^[3] Wenn das Zertifikat wahrscheinlich vertrauenswürdig ist und fehlschlägt, weil der Domainname ein geringfügiges Missverhältnis ist, wird es zunächst im Browser versagt, aber dann dem Notarvertrauen ausgesetzt, der dann die Warnung des Browsers umgehen kann.

Ein gültiger organisatorischer Eintrag wie O = Foobarwidgets hat auch eine zugehörige alphanumerische OID und wurde von ANSI "identitätsbestimmt", was eine weitere Gewissheit in Bezug auf die Bindung des Zertifikats an die Identität bietet.

Jüngste Ereignisse (2011) haben eine Bedrohung unbekannter Akteure in Nationalstaaten gezeigt, die Zertifikate geschrieben haben. Dies geschah, um a zu erstellen MITM Angriff gegen politische Aktivisten in Syrien, die über das Web auf Facebook zugreifen. Dies hätte normalerweise eine Browserwarnung ausgelöst, dies jedoch nicht, wenn das MITM -Zertifikat von einer gültigen Zertifikatbehörde ausgestellt würde, die bereits von einem Browser oder einer anderen Software vertrauen würde. Ähnliche Angriffe wurden von Stuxnet verwendet, wodurch die Software vertrauenswürdige Code ausgeht. Der Punkt der Zertifikattransparenz besteht darin, einem Endbenutzer zu ermöglichen, unter Verwendung eines einfachen Prozedur zu bestimmen, wenn ein Zertifikat tatsächlich gültig ist. Die Überprüfung gegen das Standardpaket von Zertifikaten reicht möglicherweise nicht aus, und daher ist ein zusätzlicher Scheck erwünscht. Andere Vorschläge für die Transparenz von Zertifikaten wurden ebenfalls fortgeschritten.^[4]

Ein anderer Angriff wurde gegen Comodo, eine Zertifikatbehörde, angewendet, die zu gefälschten Zertifikaten führte, die auf hochkarätige Kommunikationswebsites gerichtet waren. Dies erforderte einen Notfall -Patch für große Browser. Diese Zertifikate wurden tatsächlich von einer vertrauenswürdigen Zertifikatsbehörde ausgestellt, und daher hätte ein Benutzer keine Vorwarnung gehabt, wenn er auf eine gefälschte Website gegangen wäre, im Gegensatz zu dem Syrien -Vorfall, bei dem das Zertifikat grob geschmiedet wurde, einschließlich des Ersetzens von Alto Palo für Palo Alt. und falsche Seriennummern.

Einige Projekte zum Austausch von PHI, geschützte Gesundheitsinformationen (die als hoch angesehen werden HIPAA Sensitiv) kann X.509V3 -Zertifikate über einen Cert -DNS -Ressourcendatensatz oder über LDAP zu einem X.500 [2008] -Verzeichnis erhalten. Die Ausgabe einer maßgeblichen Bindung wird dann in RFCs in Bezug auf die Genauigkeit der DNS -Informationen detailliert beschrieben, die durch Unterzeichnung vom Root unter Verwendung von DNSSEC gesichert sind.

Das Konzept der Wurzelnamenserver war eine Quelle für große Streitigkeiten in der Internet -Community, aber für DNS ist weitgehend behoben. Es wurde traditionell angenommen, dass der Name, der mit X.500 verbunden ist, mit einer nationalen Namensbehörde beginnt, die den ISO/ITU -Ansatz für globale Systeme mit nationaler Repräsentation widerspiegelt. So werden verschiedene Länder ihre eigenen einzigartigen X.500 -Dienste schaffen. Das US X.500 wurde 1998 privatisiert, als die US -Regierung nicht mehr X.500 oder DNS -Registrierung außerhalb der bekannten Regierungsbehörden anbot.

Das X.500 -Pilotprojekt befindet sich im Gewerbegebiet, und die Technologie ist weiterhin in wichtigen Installationen von Millionen von Nutzern innerhalb von Unternehmenszentren und innerhalb der US -Regierung für Anmeldeinformationen vorhanden.

Liste der Standards der X.500 -Serie

ITU-T-Nummer	ISO/IEC Nummer	Titel des Standards
X.500	ISO/IEC 9594-1	Das Verzeichnis: Überblick über Konzepte, Modelle und Dienste
X.501	ISO/IEC 9594-2	Das Verzeichnis: Modelle
X.509	ISO/IEC 9594-8	Das Verzeichnis: Öffentlicher Schlüssel und Attribut -Zertifikat -Frameworks
X.511	ISO/IEC 9594-3	Das Verzeichnis: Abstract Service Definition
X.518	ISO/IEC 9594-4	Das Verzeichnis: Verfahren für den verteilten Betrieb
X.519	ISO/IEC 9594-5	Das Verzeichnis: Protokollspezifikationen
X.520	ISO/IEC 9594-6	Das Verzeichnis: Ausgewählte Attributtypen
X.521	ISO/IEC 9594-7	Das Verzeichnis: Ausgewählte Objektklassen
X.525	ISO/IEC 9594-9	Das Verzeichnis: Replikation
X.530	ISO/IEC 9594-10	Das Verzeichnis: Verwendung des Systemmanagements zur Verwaltung des Verzeichnisses

Kritik

Die Autoren von RFC 2693 (betreffend Spki) beachten Ein X.500-Verzeichnis-Unterbaum. " und dass "die X.500 -Idee eines ausgezeichneten Namens (ein einzelner, global eindeutiger Name, den jeder verwenden könnte, wenn er sich auf eine Entität bezieht) auch nicht auftritt."

"X.500 ist zu komplex, um auf Desktops und im Internet zu unterstützen, also LDAP wurde erstellt, um diesen Service "für den Rest von uns" zu erbringen.^[5]

Siehe auch

ISO/IEC JTC 1/SC 6

Verweise

^ http://www.collectionscanada.gc.ca/iso/ill/document/ill_directory/x_500andldap.pdf^{[Bare URL PDF]}
^ "Nationale Strategie für vertrauenswürdige Identitäten im Cyberspace".
^ Wendlandt, Dan; Andersen, David G.; Perrig, Adrian (Juni 2008). "Perspektiven: Verbesserung der Host-Authentifizierung im SSH-Stil mit Multi-Pfad-Prüfung" (PDF). Proceedings der Ussenix jährlichen technischen Konferenz 2008: 321–334.
^ "Zertifikattransparenz". www.certificate-transparenz.org.
^ Was ist LDAP?. Gracion.com. Abgerufen am 2013-07-17.

Externe Links

"RFC1485: Eine String -Darstellung von angesehenen Namen". 1993. Abgerufen 2021-02-10. Viele OSI -Anwendungen verwenden unterscheidende Namen (DN), wie im OSI -Verzeichnis definiert, allgemein bekannt als X.500 [CCI88]. Diese Spezifikation setzt die Vertrautheit mit X.500 und dem Konzept des angesehenen Namens aus.
Chadwick, D W (1994). "X.500 verstehen - das Verzeichnis". Abgerufen 2017-12-06.
X500Standard.com - Die X.500 -Community -Site, die sowohl ein Leitfaden für den X.500 -Standard als auch ein Repository für vorhandene und neue Arbeiten am Standard ist. Bei der Wayback -Maschine (Archiviert 4. Januar 2019)

[1] ttp://www.collectionscanada.gc.ca/iso/ill/document/ill_directory/x_500andldap.pdf^{[Bare URL PDF]}

[2] "Nationale Strategie für vertrauenswürdige Identitäten im Cyberspace".

[3] Wendlandt, Dan; Andersen, David G.; Perrig, Adrian (Juni 2008). "Perspektiven: Verbesserung der Host-Authentifizierung im SSH-Stil mit Multi-Pfad-Prüfung" (PDF). Proceedings der Ussenix jährlichen technischen Konferenz 2008: 321–334.

[4] "Zertifikattransparenz". www.certificate-transparenz.org.

[5] Was ist LDAP?. Gracion.com. Abgerufen am 2013-07-17.

[1]

[2]

[3]

[4]

[5]

ISO Standards Standardnummer
Liste von ISO -Standards/ Iso -Romanisierungen/ IEC -Standards
1–9999	1 2 3 4 5 6 7 9 16 17 31 -0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 68-1 128 216 217 226 228 233 259 261 262 269 302 306 361 428 500 518 519 639 -1 -2 -3 -5 -6 646 657 668 690 704 732 764 838 843 860 898 965 999 1000 1004 1007 1073-1 1073-2 1155 1413 1538 1629 1745 1989 2014 2015 2022 2033 2047 2108 2145 2146 2240 2281 2533 2709 2711 2720 2788 2848 2852 3029 3103 3166 -1 -2 -3 3297 3307 3601 3602 3864 3901 3950 3977 4031 4157 4165 4217 4909 5218 5426 5427 5428 5725 5775 5776 5800 5807 5964 6166 6344 6346 6385 6425 6429 6438 6523 6709 6943 7001 7002 7010 7027 7064 7098 7185 7200 7498 -1 7637 7736 7810 7811 7812 7813 7816 7942 8000 8093 8178 8217 8373 8501-1 8571 8583 8601 8613 8632 8651 8652 8691 8805/8806 8807 8820-5 8859 -1 -2 -3 -4 -5 -6 -7 -8 -8-i -9 -10 -11 -12 -13 -14 -15 -16 8879 9000/9001 9036 9075 9126 9141 9227 9241 9293 9314 9362 9407 9496 9506 9529 9564 9592/9593 9594 9660 9797-1 9897 9899 9945 9984 9985 9995
10000–19999	10005 10006 10007 10116 10118-3 10160 10161 10165 10179 10206 10218 10303 -11 -21 -22 -28 -238 10383 10487 10585 10589 10628 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11889 11898 11940 (-2) 11941 11941 (tr) 11992 12006 12182 12207 12234-2 12620 13211 -1 -2 13216 13250 13399 13406-2 13450 13485 13490 13567 13568 13584 13616 13816 14000 14031 14224 14289 14396 14443 14496 -2 -3 -6 -10 -11 -12 -14 -17 -20 14617 14644 14649 14651 14698 14764 14882 14971 15022 15189 15288 15291 15292 15398 15408 15444 -3 15445 15438 15504 15511 15686 15693 15706 -2 15707 15897 15919 15924 15926 15926 WIP 15930 16023 16262 16355-1 16485 16612-2 16750 16949 (TS) 17024 17025 17100 17203 17369 17442 17506 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092 -1 -2 19114 19115 19125 19136 19407 19439 19500 19501 19502 19503 19505 19506 19507 19508 19509 19510 19600 19752 19757 19770 19775-1 19794-5 19831
20000–29999	20000 20022 20121 20400 20802 21000 21047 21500 21827 22000 22300 22395 23090-3 23270 23271 23360 24517 24613 24617 24707 25178 25964 26000 26262 26300 26324 27000 Serie 27000 27001 27002 27005 27006 27729 28000 29110 29148 29199-2 29500
30000+	30170 31000 32000 37001 38500 40500 42010 45001 50001 55000 56000 80000
Kategorie