~~NOTOC~~
====== 5. Validacija in zaupanje ======
**Scenariji:** 5 \\
**FFI-funkcije:** ~40 \\
**Status:** ⏳ Načrtovano
Ta kategorija zajema vse scenarije za validacijo certifikatov in verig certifikatov. Gradnja verige, preverjanje preklica in validacija politik.
----
===== Scenariji =====
^ ID ^ Scenarij ^ Opis ^ Kompleksnost ^ Status ^
| [[.:chain_building|5.1]] | Gradnja verige | Vzpostavitev verige certifikatov | ⭐⭐⭐ | ⏳ |
| [[.:chain_validation|5.2]] | Validacija verige | Popolno preverjanje verige | ⭐⭐⭐⭐ | ⏳ |
| [[.:revocation_check|5.3]] | Preverjanje preklica | Preverjanje statusa CRL/OCSP | ⭐⭐⭐ | ⏳ |
| [[.:policy_validation|5.4]] | Validacija politik | Preverjanje politik certifikatov | ⭐⭐⭐ | ⏳ |
| [[.:name_constraints|5.5]] | Omejitve imen | Preverjanje omejitev imenskega prostora | ⭐⭐⭐⭐ | ⏳ |
----
===== Proces validacije =====
flowchart TB
START[Prejem certifikata] --> BUILD[Gradnja verige]
BUILD --> SIG[Preverjanje podpisa]
SIG --> TIME[Preverjanje veljavnosti]
TIME --> REV[Preverjanje preklica]
REV --> POLICY[Preverjanje politik]
POLICY --> CONSTR[Preverjanje omejitev]
CONSTR --> RESULT{Rezultat}
RESULT --> |V redu| VALID[Veljaven]
RESULT --> |Napaka| INVALID[Neveljaven]
style VALID fill:#e8f5e9
style INVALID fill:#ffcdd2
----
===== Koraki validacije =====
^ Korak ^ Preverjanje ^ Napaka pri ^
| 1. Gradnja verige | Veriga do sidra zaupanja | Manjkajoči vmesni certifikati |
| 2. Podpis | Vsak certifikat podpisan od izdajatelja | Neveljaven podpis |
| 3. Veljavnost | notBefore ≤ zdaj ≤ notAfter | Potekel / Še ni veljaven |
| 4. Basic Constraints | CA-zastavica, pathLen | Ne-CA podpiše certifikat |
| 5. Key Usage | keyCertSign za CA-je | Napačen namen uporabe |
| 6. Preklic | CRL ali OCSP | Preklican |
| 7. Politika | Certificate Policies | Politika ni sprejeta |
| 8. Omejitve imen | permitted/excluded Subtrees | Ime izven obsega |
----
===== Strategije preverjanja preklica =====
^ Metoda ^ Prednosti ^ Slabosti ^ Uporaba ^
| **CRL** | Možno brez povezave, enostavno | Velike datoteke, zakasnitev | Podjetja, brez povezave |
| **OCSP** | V realnem času, kompaktno | Potreben strežnik | Spletne storitve |
| **OCSP Stapling** | Zmogljivost, zasebnost | Potrebna podpora TLS strežnika | Spletni strežniki |
----
===== Panožne zahteve =====
^ Panoga ^ Preklic ^ Posebnosti ^
| **Energetika/SCADA** | CRL (brez povezave) | Internetna povezava ni možna |
| **Zdravstvo** | OCSP | Validacija v realnem času za eRecept |
| **Avtomobilska industrija** | CRL + OCSP | V2X zahteva hitro preverjanje |
| **Industrija 4.0** | CRL | Proizvodna omrežja izolirana |
----
===== Hiter začetek s kodo =====
using WvdS.Security.Cryptography.X509Certificates.Extensions.PQ;
// Nalaganje shrambe zaupanja
var trustStore = ctx.LoadTrustStore("trust-store.p7b");
// Validacija certifikata
var result = ctx.ValidateCertificate(
certificate: serverCert,
trustStore: trustStore,
options: new ValidationOptions
{
CheckRevocation = true,
RevocationMode = RevocationMode.Online, // CRL + OCSP
ValidatePolicy = true,
AcceptedPolicies = new[] { "1.3.6.1.4.1.99999.1.1" } // Prilagojen OID politike
}
);
if (result.IsValid)
{
Console.WriteLine("Certifikat veljaven");
Console.WriteLine($"Veriga: {string.Join(" → ", result.Chain.Select(c => c.Subject))}");
}
else
{
Console.WriteLine($"Napaka: {result.ErrorCode} - {result.ErrorMessage}");
}
----
===== Povezane kategorije =====
^ Kategorija ^ Povezava ^
| [[.:pki:start|1. PKI infrastruktura]] | Nastavitev shrambe zaupanja |
| [[.:widerruf:start|6. Preklic]] | Zagotavljanje CRL/OCSP |
| [[.:tls:start|10. TLS/mTLS]] | Validacija v TLS rokovanju |
----
<< [[sl:int:pqcrypt:szenarien:verwaltung:start|← 4. Upravljanje certifikatov]] | [[sl:int:pqcrypt:szenarien:start|↑ Scenariji]] | [[.:widerruf:start|6. Preklic →]] >>
----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//
{{tag>kategorija validacija veriga zaupanje preklic politika}}