PKI 第5章 习题(含答案).pdfVIP

5-1. 密钥管理包括那些内容？简单描述这个管理过程。 5-2. 集中式和分布式密钥生成系统各有特点，什么方法可以解决它们的缺点？ 5-3. 密钥归档系统依赖于安全策略和PKI 实现，描述它需要给那些不同类型的系统提供接 口，如何实现？ 5-4. 简单介绍密钥恢复，并说明从密钥恢复的观点来看，3种密钥的区别与恢复的原因。 5-5. 证书管理包括那些内容？简单描述各部分内容之间的关系。 5-6.CA 对证书负责之前，证书必须完成注册过程，这个过程存在那些问题？ 5-7. 密钥所有权确认步骤称为拥有证据，它的确认过程是如何的？ 5-8.CA 证书的更新是一个过程，是如何处理的？为什么需要这样实现？ 5-9.CRL 有哪些形式？简单描述一下CRL 在证书撤销过程中的作用。 5-10. 在线证书验证有那些动机？根据我们现今了解的一个实现简单说明这些动机。 5-1. 密钥管理包括那些内容？简单描述这个管理过程。 解答：密钥管理涉及的过程有：创建密钥，分发密钥，保护密钥，归档密钥和恢复密钥。 首先，由于某个原因需要创建一个密钥对，这个创建过程有可能是在客户端进行也可能 在一个密钥生成中心完成。接着，这些密钥和相应的证书通常保存在一个应用指定的密钥存 储中。有些情况下，这些密钥存储提供一个标准的API，以便使用API 的其他应用可以共享 对相同密钥资料的访问。有可能在密钥存储间传输密钥，可选择的密钥共享方法是提供导入 /导出机制。PKCS #11 标准定义了一个加密存储容器，作为密钥存储间安全传输密钥的交换 格式。作为提供强壮系统的部分要求，大多数组织增加使用密钥归档和恢复系统，允许用户 重新获得丢失的密钥。 5-2. 集中式和分布式密钥生成系统各有特点，什么方法可以解决它们的缺点？ 解答：密钥生成系统主要有集中式和分布式，它们各有特点： 集中式：中心密钥生成使密钥归档和恢复之类的服务简单化，因为只有少量的基础设施 组件对归档系统有接口。这在大多数情况下运行得很好，因为加密密钥是最有可能需要保存 归档系统中的密钥类型。它的负面影响是，它变成一个非常敏感的安全组件，因为它处于攻 击者破坏你的PKI 系统的显眼未知。 分布式：数字签名密钥由客户端产生，在法律和技术上支持不可否性的必要条件。由于 客户端比较分散，增加了PKI 系统的安全性，但是不利于归档和恢复，因为在本地生成的 数字签名密钥几乎从来不归档。 为了解决各自的问题，许多PKI 的实现使用了另外一种模型，该模型集中生成加密密 钥，但是在应用客户端或智能卡上生成数字签名密钥。 5-3. 密钥归档系统依赖于安全策略和PKI 实现，描述它需要给那些不同类型的系统提供接 口，如何实现？ 解答：归档系统连接的主要包括，产生密钥的客户端、CA中心和智能卡个人系统。如下图 所示： 1) 实现一个中心密钥产生系统，当它为用户传递产生的密钥时，它必须复制密钥并将 密钥传输给密钥归档。 2) 客户端密钥产生要求为密钥存储产生密钥的任何应用必须与密钥归档系统有接口。 3) 智能卡是密钥恢复系统的特殊案例。为了解决卡上产生的密钥不能复制并发送给密 钥档案，允许中心密钥系统将密钥传输到密钥归档系统。 5-4. 简单介绍密钥恢复，并说明从密钥恢复的观点来看，3种密钥的区别与恢复的原因。 解答：密钥的恢复主要是指处于某种原因，需要重新获得丢失的或者已经过时的密钥的过程。 倘若签名密钥的密钥恢复系统与数字签名的不可否认特性有冲突，大多数实现描述禁止任何 形式的签名密钥的恢复。 当前密钥，当前正在使用的密钥。丢失当前密钥的影响最大。在密钥丢失或者遭到其他 方式的情况下，需要恢复当前密钥使它能够继续使用。 先前的密钥，被当前密钥替换的已过期密钥。为了所有的实际的用途，需要保存先前的 密钥，并且他们是可访问的。由于各种原因，有可能需要访问过期不久的信息，这就需要能 够对先前密钥进行访问。 旧密钥，一个比先前密钥更早产生的密钥。不易于访问，可在密钥档案中调用密钥恢复 操作来访问。例如，可能需要解密一年到两年的电子邮件档案，这种情况下如果不借助于离 线的存储档案，是不能访问超过一年的旧电子邮件的。 5-5. 证书管理包括那些内容？简单描述各部分内容之间的关系。 解答：证书管理处理在证书生命周期内应用与证书的操作集合。在完成注册过程之后，CA 必须对证书负责。证书管理包括这些过程，注册、证书更新和证书撤销。 首先，最终实体根据PKI 系统提供的服务进行注册，其中包括分配信任链和产生密钥 对等。