Domanda:
Certificato digitale personale come verificare
user1157
2011-01-24 19:07:51 UTC
view on stackexchange narkive permalink

Un certificato del server avrebbe il proprio nome di dominio nel campo dell'oggetto. Un certificato personale avrà il tuo nome come campo dell'oggetto. Come puoi essere sicuro che non ci siano due certificati con lo stesso nome?

Ad esempio: - Supponiamo di dover inviare alcuni dati crittografati all'utenteA. Come puoi essere sicuro che sia l'utente A e non un'altra persona? La semplice verifica del nome sul certificato non eliminerebbe il rischio di un attacco man in the middle suppongo.

Tre risposte:
Jcs
2011-01-24 20:32:04 UTC
view on stackexchange narkive permalink

Lo scopo di un certificato è associare una chiave pubblica a un'entità e questa è responsabilità dell ' Autorità di registrazione della PKI garantire che l'identità dell'entità nel certificato corrisponda all'entità del detentore della chiave (es per il certificato SSL un'entità può essere un server, l'identità è il nome di dominio).

Le procedure che descrivono come questa corrispondenza viene eseguita dalla RA possono essere trovate in un documento pubblico pubblicato da PKI e denominato Certificate Policy .

Questa è la responsabilità dell'utente di un certificato (per la crittografia della convalida della firma) di leggere il CP e decidere quanto sia affidabile l ' Autorità di certificazione che ha emesso questo certificato. Ovviamente non riponi la stessa fiducia in qualche PKI che dichiara che viene verificata solo l'email del detentore della chiave e una PKI che consegna il certificato su una smartcard, direttamente nelle mani del detentore della chiave, con un controllo ufficiale dell'identità. Ma a volte la verifica dell'email può essere sufficiente.

In realtà le domande più importanti da porre sono:

  • quali dati nel certificato sono stati controllati dalla RA?
  • Questi dati sono stati raccolti in modo affidabile?
  • in base alle tue esigenze (firma e-mail, firma elettronica di un contratto ...) puoi fidarti del certificato?
sì, i certificati digitali associano la chiave pubblica a un'entità. Con cosa possiamo legare una chiave pubblica a un certificato personale? Non esiste un nome di dominio per un utente?
Come dice Jcs, dipende dalle tue esigenze. In molti casi l'obiettivo è in realtà solo quello di fidarsi che la persona che accede al proprio account sul tuo sito questa volta sia la stessa persona che lo ha configurato (con un certificato) quando si è registrata sul tuo sito. Un certificato aiuterebbe in modo significativo (anche se non ancora a prova di errore) in questo e fornirebbe l'authn a due fattori per l'avvio.
Eugene Kogan
2011-01-25 01:05:37 UTC
view on stackexchange narkive permalink

Che ne dici di utilizzare l'indirizzo email dell'utente come identificatore?

Certo che potresti farlo, ma è ancora una questione se la CA si fida abbastanza dell'utente.
bethlakshmi
2011-01-25 20:48:25 UTC
view on stackexchange narkive permalink

Se hai bisogno di un identificatore univoco, utilizza il numero di serie del certificato combinato con il DN dell'emittente. Questo è il modo in cui OCSP lo fa ed è garantito che sarà unico. Come dice nealmcb, le informazioni descrittive nel certificato (Subject DN, Subject alt name, ecc.) Sono verificate dalla RA e non è necessario che siano univoche, a meno che la tua CA non abbia una pratica aziendale di gestione dell'unicità. Alcuni gruppi lo fanno: ad esempio, possono includere l'ID del dipendente nel DN dell'oggetto e confrontarlo con un database aziendale come parte del processo di registrazione. Ma per implementare qualcosa del genere, devi essere sicuro di utilizzare un sistema PKI che lo fornisca.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...