ГОСТ Р 55811-2013
Пары кросс сертификатов ключей проверки электронной подписи подобны сертификатам ключей
проверки электронной подписи, иерархически соединяющим УЦ с головным УЦ. Эти сравнимые пары кросс
сертификатов ключей проверки электронной подписи, показанные на рисунке Б.З двусторонними стрелка
ми, позволяют бизнес-приложениям осуществляющим проверку цепочки сертификатов от проверяемого
«родительского» (головного) УЦ. использующего пары кросс-сертификатов ключей проверки электронной
подписи, вести работу с любым УЦ. Это делает возможным осуществление кросс-сертификации с другими
областями не только на верхнем (головной УЦ) уровне, но и среди подчиненных УЦ.
В смешанной системе УЦ определяют три вида кросс-сертификатов ключей проверки электронной
подписи: иерархический, общий и специальный.
Иерархические кросс-сертификаты ключей проверки электронной подписи подобны иерархической
цепочке сертификатов, направленной к головному УЦ. Они обеспечивают уверенность в том. что пользова
тели сертификатов, которые доверяют своему локальному УЦ (в отличие от головного УЦ). всегда могут
найти цепочку сертификатов к любому другому юридическому или физическому лицу в системе УЦ.
Общие кросс-сертификаты ключей проверки электронной подписи дополняют иерархию создания
сертификатов ключей проверки электронной подписи и делают возможными более короткие цепочки сер
тификатов. Правила, касающиеся использования общих кросс-сертификатов ключей проверки электронной
подписи, позволяют распространить доверие с таким же ограничением, как и распространение доверия при
использовании наименее ограниченной цепочки сертификатов от головного УЦ пользователя сертификата
к проверяемому на действительность сертификату ключа проверки электронной подписи.
Специальные кросс-сертификаты ключей проверки электронной подписи обеспечивают цепочки сер
тификатов. которые могут не соответствовать ограничениям, предписываемым иерархически по цепочке из
головных УЦ. Специальные кросс-сертификаты ключей проверки электронной подписи могут быть созданы
между «листовыми» УЦ. Листовыми являются УЦ, которые имеют иерархическую цепочку сертификатов,
направленную к головному УЦ, длина которой ограниченна «0». Это делает возможным дальнейшее рас
пространение доверия к другим УЦ по иерархической цепочке сертификатов. Специальные кросс
сертификаты ключей проверки электронной подписи адекватны тогда, когда каждый из двух УЦ действует в
соответствии с политиками применения сертификатов, делающими возможным более высокий уровень до
верия или меньшие ограничения, чем те. которые были бы позволены в любом другом случае.
На рисунке Б.З Алиса показана в иерархии, не являющейся иерархией Боба в рамках системы УЦ.
Если Алиса пожелает подтвердить подпись Боба, она может сделать свой выбор из целого ряда цепочек
сертификатов, чтобы установить доверие к своему непосредственному УЦ (УЦЗ) или к своему головному
УЦ (УЦ1). В процессе подтверждения подлинности цепочки сертификатов клиента Алисы отыскивается, по
крайней мере, одна цепочка сертификатов, соответствующая политике применения сертификатов или дру
гим критериям, которые требуются Алисе для проверки сертификата ключа проверки электронной подписи
Боба.
54