PKI技术课后复习题-讲解.pptVIP

2021/2/7 * * 判断题(5) 证书需要签发者进行数字签名,CRL不需要签发者进行数字签名。N。CRL也需要通过数字签名保证真实性和完整性。 检查证书撤销状态时,要同时进行OCSP和CRL检查,才是足够安全的。N。只需要其中一个。OCSP相当于帮助用户查询CRL。 IE浏览器不支持PKI。N。支持。 2021/2/7 * * 判断题(6) 根据《中华人民共和国电子签名法》基于PKI的数字签名是唯一合法有效的电子签名。N。 在X.500目录中,每个Entry都至少应该属于1种Object Class。Y。Object Class说明了Entry可具有的Attribute,每个Entry都至少应该属于1种Object Class “Object Class”是X.500目录中的Entry应该具有的一种Attribute。Y。“Object Class”也是Entry的属性,说明了它属于哪几种Object Class X.500目录中,Attribute Type是用OID表示的,Attribute Value也可以是OID。Y。例如,有个节点表示了中国科学院CA,那么,它就有属性“使用算法”,其Attribute Value就可以是OID 2021/2/7 * * 判断题(7) RA一定要有自己的证书,才可以搭建PKI系统。 N。如果RA没有自己的证书,可以使用其他的方式来保护CA和RA之间的通信安全,照样可以搭建PKI系统。 CRL Issuer可以同时签发完全CRL和增量CRL。Y。 间接CRL就必须支持CRL Entry扩展Certificate Issuer。Y。CRL里对于每个被撤销的证书,仅有其序列号和撤销时间。只有“签发者+序列号”才能唯一标识一张证书,因而间接CRL中需要有被撤销证书Issuer信息。 2021/2/7 * * 简答题(1) 简述一下PKI用户（PKI User）和PKI订户（PKI Subscriber）的不同。PKI Subscriber:有自己的证书和密钥对PKI User:使用证书。自己可能没有证书。 2021/2/7 * * 简答题(2) Alice有1个证书,专门用于进行数字签名（在证书扩展中标明）。Alice不慎将该证书相应的私钥销毁了,Alice决定推迟数天再进行证书撤销,是否会有问题?如果是专门用于密钥协商的证书呢? 用于签名的可以。以前的签名照样可以验证,其他人不能假冒签名。 用于密钥协商的有问题。导致密钥协商进行不了。 2021/2/7 * * 简答题(3) 有个CA,在其系统运行的初始阶段,其所签发的所有证书都没有出现问题（也就是,都不需要撤销）,这时候,有没有必要签发CRL?为什么? 需要 即使是所有的证书都没有问题,也应该明确地告诉所有的PKI用户 没有被撤销的证书 2021/2/7 * * 简答题(4) 4. 证书策略（Certificate Policies）扩展出现在订户证书和CA中,分别表示了什么意义? CA证书:该CA所能够签发的订户证书级别 订户证书:订户证书的安全级别和使用范围 2021/2/7 * * 简答题(5) 5.在Authority Key Identifier证书扩展中,可以有2种形式:（1）Key Identifier、（2）Authority Cert Issuer和Authority Cert Serial Number。但是,在Subject Key Identifier证书扩展中,却只有1种形式:Key Identifier。请说明其中的理由。 对于Authority Key Identifier,用形式（2）是有意义的。它通过CA证书的签发者+序列号,来区分CA用自己的哪一个证书来签发了该证书。如下图。 2021/2/7 * * Authority Cert Issuer+Authority Cert Serial Number 唯一的标识了CA证书 2021/2/7 * * 对于Subject Key Identifier,用形式（2）是多余的。该扩展用来标识Subject的各个证书（对应的公私钥对）。证书中的Issuer和Serial Number就已经可以区分主体的各个证书了,相当于Authority Key Identifier扩展之中的authority Cert Issuer和authority Cert Serial Number。所以没必要。 2021/2/7 * * 简答题(6) 6.请使用ASN.1语法来描述“PKI技术课程”,至少应该包括:课程名称、课程编号、教师、学生等。PKILesson ::= SEQUENCE { name UTF8String, tea