PKI技术课后复习题_讲解.pptVIP

* 简答题(2) Alice有1个证书，专门用于进行数字签名（在证书扩展中标明）。Alice不慎将该证书相应的私钥销毁了，Alice决定推迟数天再进行证书撤销，是否会有问题？如果是专门用于密钥协商的证书呢？ 用于签名的可以。以前的签名照样可以验证，其他人不能假冒签名。 用于密钥协商的有问题。导致密钥协商进行不了。 * 简答题(3) 有个CA，在其系统运行的初始阶段，其所签发的所有证书都没有出现问题（也就是，都不需要撤销），这时候，有没有必要签发CRL？为什么？ 需要 即使是所有的证书都没有问题，也应该明确地告诉所有的PKI用户 没有被撤销的证书 * 简答题(4) 4. 证书策略（Certificate Policies）扩展出现在订户证书和CA中，分别表示了什么意义？ CA证书：该CA所能够签发的订户证书级别 订户证书：订户证书的安全级别和使用范围 * 简答题(5) 5.在Authority Key Identifier证书扩展中，可以有2种形式：（1）Key Identifier、（2）Authority Cert Issuer和Authority Cert Serial Number。但是，在Subject Key Identifier证书扩展中，却只有1种形式：Key Identifier。请说明其中的理由。 对于Authority Key Identifier，用形式（2）是有意义的。它通过CA证书的签发者+序列号，来区分CA用自己的哪一个证书来签发了该证书。如下图。 * Authority Cert Issuer+Authority Cert Serial Number 唯一的标识了CA证书 * 对于Subject Key Identifier，用形式（2）是多余的。该扩展用来标识Subject的各个证书（对应的公私钥对）。证书中的Issuer和Serial Number就已经可以区分主体的各个证书了，相当于Authority Key Identifier扩展之中的authority Cert Issuer和authority Cert Serial Number。所以没必要。 * 简答题(6) 6.请使用ASN.1语法来描述“PKI技术课程”，至少应该包括：课程名称、课程编号、教师、学生等。PKILesson ::= SEQUENCE { name UTF8String, teacher UTF8String, students Students, lessonTime LessonTime, classroom UTF8String}Students ::= SET OF StudentStudent ::= SEQUENCE { name UTF8String, number UTF8String} LessonTime ::= SET OF UTCTime PKI技术 课后复习题 讲解 * 选择题(1) 关于CA，下面说法那些是正确的（AC） A、CA负责签发订户的数字证书 B、CA没有自己的数字证书 C、CA是PKI的核心部件 D、CA和CA之间不能相互认证、相互签发证书 * 选择题(2) CA交叉认证的结果是(B) A、产生订户证书 B、产生交叉证书 C、产生CRL D、产生OCSP * 选择题(3) 哪些证书的序列号应该出现在CRL上(D) A、有效期内的正常证书 B、过期的证书 C、尚未生效的证书 D、相应私钥泄漏的、有效期内的CA证书 * 选择题(4) IETF PKIX的模型中，包括了如下的部件（ABCDEF） A、终端实体 B、CA C、RA D、CRL Issuer E、资料库 F、PKI User * 选择题(5) 资料库的形式可以是（ABCDEFG） A、HTTP B、FTP C、电子邮件 D、OCSP E、X.500 F、LDAP G、关系数据库 * 选择题(6) PKI中，哪个部件负责审核订户提交信息的真实性（D） A、CA --签发证书、CRL B、OCSP --在线证书状态查询 C、End Entity --PKI Subscriber D、RA --审核订户提交信息 E、密钥管理机构 --管理密钥（生成、保存） * 选择题(7) 在PKI中，以下哪些信息是可以公开的（ABCDEG） A、最新的CRL B、过期的订户证书 C、CA的公钥 D、订户的公钥 E、签发证书时，所用的HASH算法 F、订户私钥 G、交叉证书 * 选择题(8) X.500目录中，Entry是以 方式组织的(BD) A.二叉树 B.有结构的 C.网状 D.