了解
符合 PKI 标准摘要
此清单重点介绍了某些 Entrust 产品构件以及这些产品遵循的标准。
对称加密算法
- 美国数据加密标准 (DES) 遵循美国 FIPS PUB 46-2 和 ANSI X3.92
- 美国高级加密标准 (AES) 遵循美国 FIPS PUB 197(支持 256 位密钥)和 NIST SP 800-38D 第 8.22 章节
- 根据 RFC 2144 进行 CAST 块加密(支持 64 位、80 位和 128 位变体)
- 符合 ANSI X9.52 标准的三重数据加密标准(支持 168 位有效密钥大小的 3 密钥变体)
- 符合 RFC 2268 标准的 RC2®(支持 40 位、128 位变体);
- ISO/IEC 9979 加密算法注册表中列出的 IDEA(支持 128 位)
注释: DES、CAST、Triple-DES、RC2 和 IDEA 加密都按照美国的以下标准使用 CBC 操作模式。 FIPS PUB 81、ANSI X3.106 和 ISO/IEC 10116
电子签名算法
- RSA 符合公钥加密标准 (PKCS) 规范 PKCS#1 2.1 版本(PKCS1-v1.5 和 PKCS-v2 OAEP 加密方案;RSASSA-PKCS1-v1.5 和 RSASSA-PSS 签名方案,含 EMSA-PKCS1-v1.5 和 EMSA-PSS 编码;以及 I2OSP、OS2IP、RSASP1 和 RSAVP 原始工具)、ANSI X9.31、IEEE 1363、ISO/IEC 14888-3 和美国 FIPS PUB 186-3(1024 位、2048 位、3072 位),支持 4096 位和 6144 位密钥。
- 符合电子签名标准的 DSA 美国 FIPS PUB 186-2、ANSI X9.30 第 1 部分、IEEE P1363 和 ISO/IEC 14888-3(支持 1024 位)
- ECDSA 符合 ANSI X9.62、IEEE P1363、ISO/IEC 14888-3 和 美国 FIPS PUB 186-3(默认值为 192 位)
单向哈希函数
- SHA-1、SHA-224、SHA-256、SHA-384 和 SHA-512 符合美国 FIPS PUB 180-2 和 ANSI X9.30 第 2 部分
- 符合 RFC 1321 的 MD5 信息摘要算法
- 符合 RFC 1319 的 MD2 信息摘要算法
- RIPEMD-160 符合 ISO/IEC 10118-3:1998
密钥交换算法
- RSA 密钥传输符合 RFC 1421 和 RFC 1423 (PEM)、PKCS#1 2.0 版本、IEEE P1363
- 符合 NIST SP 800-56A 和 ANSI X9.63 的 Elliptic Curve Diffie-Hellman (ECDH)
- 根据 PKCS#3 的 Diffie-Hellman 密钥协议
- 简单公钥 GSS-API 机制 (SPKM) 身份验证和密钥协议符合 RFC 2025、ISO/IEC 9798-3 和美国 FIPS PUB 196
- 符合 RFC 2246 的 SSL v3 和 TLS v1
对称完整性技术
- MAC 符合美国 FIPS PUB 113(用于 DES-MAC)和 X9.19
- CMAC 符合 NIST SP 800-38B
- HMAC 符合 RFC 2104
Psuedo 随机数生成器
- Psuedo 随机数生成器符合 ANSI X9.17(附录 C)和 FIPS 186-3
- 使用 SHA512 的 DRBG 符合 NIST SP 800-90 和 FIPS 186-3
证书吊销列表 (CRL)
- 版本 3 公钥证书和版本 2 CRL 符合 ITU-T X.509 建议和 ISO/IEC 9594-8(第 4 版,2000 年以及早期版本)
- 版本 3 公钥证书和版本 2 CRL 扩展符合 RFC 2459 和 RFC 3280
- 版本 3 公钥证书和版本 2 CRL 扩展符合美国 FPKI X.509 证书和 CRL 扩展配置文件
- 版本 3 公钥证书和版本 2 CRL 扩展符合通用政策的 NIST X.509 证书和 CRL 扩展配置文件
- 版本 3“合格”证书符合 RFC 3039 和 ETSI TS 101 862
- 版本 3 公钥证书和版本 2 CRL 符合 Web 浏览器和服务器的事实标准
- WTLS 证书支持符合 WAP WTLS 版本 1.1。 (Entrust.net 证书颁发)
- RSA 算法标识符和公钥格式符合 RFC 1422 和 1423 (PEM) 以及 PKCS#1
文件信封格式
- 基于互联网 RFC 1421 (PEM) 的标准文件信封格式
- 基于 RFC 2315 的 PKCS#7 版本 1.5 和基于 RFC 3369 和 3370 的加密消息语法 (CMS)
- 基于 RFC 2311 的 S/MIME 版本 2
安全会话格式
- 根据互联网 RFC 2025 使用 SPKM 的在线 GSS-API 公钥实施机制,以及根据 FIPS 196 进行的 SPKM 实体身份验证
- 符合 RFC 2246 的 SSL v3 和 TLS v1
存储库
- LDAP 版本 2 符合 RFC 1777 和 RFC 2559
- LDAP 版本 3 符合 RFC 2251-2256
私钥存储
- 私钥存储符合 PKCS#5 和 PKCS#8
证书管理
- 安全交换协议 (SEP),使用一般上层安全性 (GULS) 标准 ITU-T Recs 构建。 X.830、X.831、X.832 和 ISO/IEC 11586-1、11586-2、11586-3(仅限继续支持 SEP 的向后兼容性)
- PKIX-CMP 符合 RFC 2510、PKIX-CRMF 符合 RFC 2511
- PKCS 7/10(用于基于 Web 的客户端和 VPN 解决方案)
- Cisco Certificate Enrollment Protocol (CEP)(用于 VPN 解决方案)
应用程序编程接口 (API)
- 符合 PKCS#11 的硬件加密接口
- 符合 RFC 1508 和 1509 的一般安全服务 API (GSS-API)
- IDUP-GSS-API 符合互联网草案 draft-ietf-cat-idup-gss-08.txt