PKI技术课后复习题-讲解.ppt

PKI技术课后复习题讲解 2 选择题 1 关于CA 下面说法那些是正确的 AC A CA负责签发订户的数字证书B CA没有自己的数字证书C CA是PKI的核心部件D CA和CA之间不能相互认证 相互签发证书 3 选择题 2 CA交叉认证的结果是 B A 产生订户证书B 产生交叉证书C 产生CRLD 产生OCSP 4 选择题 3 哪些证书的序列号应该出现在CRL上 D A 有效期内的正常证书B 过期的证书C 尚未生效的证书D 相应私钥泄漏的 有效期内的CA证书 5 选择题 4 IETFPKIX的模型中 包括了如下的部件 ABCDEF A 终端实体B CAC RAD CRLIssuerE 资料库F PKIUser 6 选择题 5 资料库的形式可以是 ABCDEFG A HTTPB FTPC 电子邮件D OCSPE X 500F LDAPG 关系数据库 7 选择题 6 PKI中 哪个部件负责审核订户提交信息的真实性 D A CA 签发证书 CRLB OCSP 在线证书状态查询C EndEntity PKISubscriberD RA 审核订户提交信息E 密钥管理机构 管理密钥 生成 保存 8 选择题 7 在PKI中 以下哪些信息是可以公开的 ABCDEG A 最新的CRLB 过期的订户证书C CA的公钥D 订户的公钥E 签发证书时 所用的HASH算法F 订户私钥G 交叉证书 9 选择题 8 X 500目录中 Entry是以方式组织的 BD A 二叉树B 有结构的C 网状D 树状 10 选择题 9 OID可以用来表示如下 ABCDEFG A 人类B 公钥密码算法C 对称密码算法D RSA算法E 课程PKI技术F 数字证书G 证书策略OID用来表示OBJECT 任意的事物 抽象的事物 或者具体的事物 11 选择题 10 以下哪些是ASN 1中的基本数据类型 ACDEG INTEGEROPTIONALOBJECTIDENTIFIEROCTETSTRINGBITSTRINGDEFAULTBOOLEANOPTIONAL DEFAULT 关键字 12 选择题 11 数字证书中 签发者Issuer和主体Subject是以 BD 方式来表示的IP地址RDNSequenceEmail地址X 500DN 13 选择题 12 完整的PKI系统 可包括了如下组件 ABCDE CARARepository 中文 资料库 CRLIssuerOCSP服务器 14 选择题 13 对于X 500DN 应该使用ASN 1中的 D 来表示A SETB SETOFC SEQUENCEOFSEQUENCE D SEQUENCEOFSETOF E SEQUENCEOFF OCTETSTRING 15 选择题 14 ASN 1有如下的编码规则 BCD AERBER BasicEncodingRulesCER CanonicalEncodingRulesDER DistinguishedEncodingRules 16 选择题 15 在IssuerAlternativeName中 可以包括 ABDE CA的EmailCA的网站订户的Email SubjectAlternativeNameCA的营业执照号码CA的IP地址 17 选择题 16 命名限制NameConstraints扩展同时对证书的 BC 对起作用IssuerSubjectSubjectAlternativeNameIssuerAlternativeName 18 选择题 17 X 500目录中 AttributeType是用 A 表示的OBJECTIDENTIFIERINTEGERBITSTRINGASCII 19 选择题 18 在CRL中 每个Entry表示了 A 个被撤销的证书1个单证书PKI系统是1个 双证书PKI系统是2个任意个个数由CA在扩展中确定 20 选择题 19 如果证书中有PrivateKeyUsagePeriod扩展 其KeyUsage扩展必须包括 B 用法dataEnciphermentdigitalSignatureencipherOnlykeyAgreementPrivateKeyUsagePeriod扩展是因为数字签名的特殊性提出的一次签名 永远验证 21 选择题 20 对于订户证书X 如何获取其所对应CRL的方法 也就是CRLDistributionPoint扩展的信息 应该出现在 A 订户证书X中其所对应的CA证书中其所对应的根CA证书中订户证书X的IssuerAlternativeName扩展中 22 选择题 21 证书策略CP在证书中的表现形式是 A A OIDB 时间段C URLD X 500DNE 密码算法F CPS内容在证书中 仅仅是列出了CP的OID还可以给出相应CPS的URL 可选的 23 判断题 1 IETFPKIX的PKI的标准和ITU TX 509标准是截然不同 互不兼容的 N IETFPKIX将X 509定义的PKI用于Internet订户要将自己的公钥和私钥都同时交给CA CA才能签发数字证书 N 公钥提交给CA 私钥自己保存 CA使用ECC签名算法给订户签发了一张含有RSA算法公钥的证书 Y CA签名算法与订户公钥算法无关 24 判断题 2 订户证书对应的密钥对 只能由订户自己来生成 N 用户自己 或第三方权威机构 KMC CA 都可以 按证书Subject的不同 可以将数字证书分为2种 CA证书 订户证书 Y 证书策略CP说明了证书签发的详细流程 N CP说明了证书安全使用等级 范围 CPS说明了为了达到相应的CP 有什么样的措施和要求 25 判断题 3 证书认证路径CertificationPath的多个证书中 最多包含了1个订户证书 Y CertificationPath 从RootCA证书到EndEntity证书 或CA证书 按照目前的计算机处理能力 256bit的RSA算法密钥是安全的 N 512bit 768bit的RSA的密钥的安全性已经不能满足要求 按照RSA公司的估计 1024bit的RSA密钥的可以使用至2014年按照目前的计算机处理能力 128bit的IDEA算法密钥是安全的 Y 26 判断题 4 CA必须保持24小时在线服务 PKI才可能提供非否认服务 N 非否认性服务 需要公钥验证签名 从资料库获取证书 CA必须公开自己的公钥 用户才能验证其他订户证书的真伪 Y 一个实体A信任另一个实体B是指 A认为B的行为恰如A所预期的 Y 27 判断题 5 证书需要签发者进行数字签名 CRL不需要签发者进行数字签名 N CRL也需要通过数字签名保证真实性和完整性 检查证书撤销状态时 要同时进行OCSP和CRL检查 才是足够安全的 N 只需要其中一个 OCSP相当于帮助用户查询CRL IE浏览器不支持PKI N 支持 28 判断题 6 根据 中华人民共和国电子签名法 基于PKI的数字签名是唯一合法有效的电子签名 N 在X 500目录中 每个Entry都至少应该属于1种ObjectClass Y ObjectClass说明了Entry可具有的Attribute 每个Entry都至少应该属于1种ObjectClass ObjectClass 是X 500目录中的Entry应该具有的一种Attribute Y ObjectClass 也是Entry的属性 说明了它属于哪几种ObjectClassX 500目录中 AttributeType是用OID表示的 AttributeValue也可以是OID Y 例如 有个节点表示了中国科学院CA 那么 它就有属性 使用算法 其AttributeValue就可以是OID 29 判断题 7 RA一定要有自己的证书 才可以搭建PKI系统 N 如果RA没有自己的证书 可以使用其他的方式来保护CA和RA之间的通信安全 照样可以搭建PKI系统 CRLIssuer可以同时签发完全CRL和增量CRL Y 间接CRL就必须支持CRLEntry扩展CertificateIssuer Y CRL里对于每个被撤销的证书 仅有其序列号和撤销时间 只有 签发者 序列号 才能唯一标识一张证书 因而间接CRL中需要有被撤销证书Issuer信息 30 简答题 1 简述一下PKI用户 PKIUser 和PKI订户 PKISubscriber 的不同 PKISubscriber 有自己的证书和密钥对PKIUser 使用证书 自己可能没有证书 31 简答题 2 Alice有1个证书 专门用于进行数字签名 在证书扩展中标明 Alice不慎将该证书相应的私钥销毁了 Alice决定推迟数天再进行证书撤销 是否会有问题 如果是专门用于密钥协商的证书呢 用于签名的可以 以前的签名照样可以验证 其他人不能假冒签名 用于密钥协商的有问题 导致密钥协商进行不了 32 简答题 3 有个CA 在其系统运行的初始阶段 其所签发的所有证书都没有出现问题 也就是 都不需要撤销 这时候 有没有必要签发CRL 为什么 需要即使是所有的证书都没有问题 也应该明确地告诉所有的PKI用户没有被撤销的证书 33 简答题 4 4 证书策略 CertificatePolicies 扩展出现在订户证书和CA中 分别表示了什么意义 CA证书 该CA所能够签发的订户证书级别订户证书 订户证书的安全级别和使用范围 34 简答题 5 5 在AuthorityKeyIdentifier证书扩展中 可以有2种形式 1 KeyIdentifier 2 AuthorityCertIssuer和AuthorityCertSerialNumber 但是 在SubjectKeyIdentifier证书扩展中 却只有1种形式 KeyIdentifier 请说明其中的理由 对于AuthorityKeyIdentifier 用形式 2 是有意义的 它通过CA证书的签发者 序列号 来区分CA用自己的哪一个证书来签发了该证书 如下图 35 AuthorityCertIssuer AuthorityCertSerialNumber唯一的标识了CA证书 36 对于SubjectKeyIdentifier 用形式 2 是多余的 该扩展用来标识Subject的各个证书 对应的公私钥对 证书中的Issuer和SerialNumber就已经可以区分主体的各个证书了 相当于AuthorityKeyIdentifier扩展之中的authorityCertIssuer和authorityCertSerialNumber 所以没必要 37 简答题 6 6 请使用ASN 1语法来描述 PKI技术课程 至少应该包括 课程名称 课程编号 教师 学生等 PKILesson SEQUENCE nameUTF8String teacherUTF8String studentsStudents lessonTimeLessonTime classroomUTF8String Students SETOFStudentStudent SEQUENCE nameUTF8String numberUTF8String LessonTime SETOFUTCTime 38 简答题 7 7 为什么CA也要有自己的数字证书 如果PKI系统只包括了CA 没有RA等组件 能否为PKIUser提供安全服务 为什么 因为CA发布订户的公钥 也有数据完整性 非否认 真实性的安全要求如果只是CA 也是可以的 就是任务太集中 39 简答题 8 8 整数0 x7的DER编码是什么 长度为0 x237字节的字节串 其DER编码中的Length域如何表示020107820237 40 简答题 9 9 任意列出你所知道的8种标准证书扩展 必须注明英文名称 中文名称可以不要 Authority SubjectKeyIdentifierKeyUsage PrivateKeyUsagePeriodCertificatePolicies PolicyMappingsIssuer SubjectAlternativeNameSubjectDirectoryAttributes BasicConstraintsNameConstraints PolicyConstraintsExtendedKeyUsage CRLDistributionPointsInhibitAny Policy FreshestCRL 41 简答题 10 10 短周期证书的密钥出了问题 订户是否要向RA请求撤销 为什么 订户需要向RA请求撤销 向RA说明该证书的密钥有问题 如果不请求撤销 CA会继续签新的证书 但是 密钥不变 请求撤销后 CA也会继续签证书 密钥变化了 42 简答题 11 11 为什么在X 500目录中 Alias节点必然是Leaf节点 对于Alias节点的操作 会转到对真实节点的操作 所以 增加下级节点 操作 对于Alias节点是没有意义的 不可能有下级节点因为有AliasDereferencing 如果有 其下面的节点也永远不可能被查询到 43 简答题 12 12 X 500目录中 节点的DN是如何得到的 为什么DSAInformationTree必然是从Root开始的 从Root开始 各RDN顺序排列而成DSAInformationTree如果不是从Root开始 就不知道节点的DN 44 简答题 13 13 用图描述 在X 500目录中 Entry Attribute AttributeType AttributeValue的相互关系 Entry 多个AttributeAttribute 1个Type 多个Value如下图