Điểm:0

khóa cá nhân phù hợp của một chứng chỉ -- làm cách nào để có được nó?

lá cờ jp

Nếu A có chứng chỉ do CA_X cấp, chắc chắn A phải có khóa riêng của chứng chỉ. Câu hỏi của tôi là, A có tự tạo khóa riêng hay không, khóa riêng được tạo bởi CA_X và bằng cách nào đó được CA_X gửi tới A?

Điểm:2
lá cờ jp

Theo hiểu biết của tôi, khóa riêng phải được tạo và lưu giữ bởi chủ sở hữu (hoặc đối tượng) của chứng chỉ. Khóa công khai và một số thông tin bổ sung được gửi đến CA. Tuy nhiên, CA không nên biết khóa riêng của chứng chỉ.

Cách hiểu trên có đúng không?

fgrieu avatar
lá cờ ng
Vâng, đó là cách tiêu chuẩn mọi thứ được thực hiện. Nó giống như vậy mà chỉ chủ sở hữu/đối tượng của chứng chỉ mới biết khóa riêng. Những gì được gửi đến CA được gọi là Yêu cầu ký chứng chỉ (CSR). Nó thường chứa khóa chung, thông tin nhận dạng và chữ ký của khóa đó bằng khóa riêng. CA gửi lại chứng chỉ. Cả CSR và chứng chỉ đều có thể được công khai một cách an toàn (mặc dù thông thường, chỉ có chứng chỉ là được).
Điểm:1
lá cờ in

Đã có và đã có các cơ quan chứng nhận cung cấp dịch vụ tạo cặp khóa. Tuy nhiên, đó chắc chắn không phải là cách ưa thích. Trước hết, nó cho phép CA đóng vai trò là thực thể có khóa riêng, vì họ có thể đã giữ lại khóa đó $^1$. Thứ hai, điều đó có nghĩa là việc vận chuyển khóa riêng phải được bảo mật. Cuối cùng, nó cũng có thể làm cho việc lưu trữ kém an toàn hơn; nói chung, bạn không muốn đặt giá trị vào bộ nhớ không an toàn, bộ nhớ này cũng có thể được hoán đổi sang thiết bị lưu trữ.

Nói chung, bạn sẽ cố gắng giữ khóa riêng an toàn nhất có thể. Về cơ bản, điều đó có nghĩa là giá trị khóa chỉ được chuyển nếu một bản sao lưu là cần thiết. Đôi khi, bạn chỉ nên yêu cầu một khóa mới, nhưng việc tạo một cặp khóa mới có nghĩa là chứng chỉ cũng cần được thay thế và điều đó có thể tốn quá nhiều tài nguyên (tiền, chi phí liên lạc, quy trình quản lý khóa, v.v.). Đôi khi, giá trị khóa cũng có thể được sử dụng bởi nhiều máy chủ có liên quan (ví dụ: đối với chứng chỉ ký tự đại diện).

Lưu ý rằng để yêu cầu chứng chỉ, bạn chỉ ký vào yêu cầu ký chứng chỉ hoặc CSR bằng khóa riêng. Điều đó cho phép khóa riêng tư được lưu trữ trong kho lưu trữ khóa an toàn hoặc mã thông báo (phần cứng) chẳng hạn như TPM hoặc HSM, thay vì được tải vào bộ nhớ không an toàn.


Một trong những CA cung cấp dịch vụ tạo cặp khóa là DigiNotar. Đó là một CA khét tiếng không an toàn đã bị phá sản sau khi người ta phát hiện ra rằng bạn có thể yêu cầu chứng chỉ cho bất kỳ miền nào.


$^1$ mặc dù tất nhiên họ có thể ký bất kỳ yêu cầu chứng chỉ không hợp lệ nào - về nguyên tắc, họ sẽ không cần yêu cầu của một người dùng cụ thể; Tuy nhiên, quy trình sẽ hơi khác và thông thường nó sẽ kết thúc trong nhật ký kiểm tra nếu họ định ký các yêu cầu của riêng mình

Maarten Bodewes avatar
lá cờ in
Tôi khá chắc chắn rằng tôi đã thấy một CA hiện có sẵn cung cấp các dịch vụ tạo cặp khóa. Tôi sẽ cố gắng tìm ra nó, và công khai làm họ xấu hổ.
lá cờ jp
Ví dụ về cách một CA tạo và lưu giữ khóa riêng tư có thể gặp trục trặc: Trustico đang lưu trữ khóa riêng tư mà khách hàng đã tạo trực tuyến và cực kỳ lỏng lẻo trong việc bảo mật chúng, dẫn đến [23.000 chứng chỉ phải bị thu hồi mà không cần thông báo nhiều](https: //arstechnica.com/information-t Technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/). Trustico vẫn đang kinh doanh (tôi không biết tại sao), nhưng ít nhất họ [không làm như vậy nữa](https://www.trustico.com/csr/generate-csr-howto.php).
dave_thompson_085 avatar
lá cờ cn
Maarten: hãy thử các tổ chức phát hành chứng chỉ thiết kế mã EV; họ được yêu cầu (nhấn mạnh thêm) để "**đảm bảo** rằng khóa riêng của Người đăng ký được tạo, lưu trữ và sử dụng trong mô-đun mật mã đáp ứng hoặc vượt trội... FIPS 140-2 cấp 2 hoặc CC EAL 4+". IMLE các CA như vậy đã quyết định sẽ rẻ hơn nếu họ mua một mô-đun (mua số lượng lớn với mức chiết khấu) không hỗ trợ xuất khóa, giám sát quá trình tạo khóa và gửi cho bạn, thay vì yêu cầu bạn trả hàng chục nghìn đô la để kiểm tra cài đặt và vận hành thiết bị riêng.
Maarten Bodewes avatar
lá cờ in
Chà, có điều gì đó xảy ra nếu phần cứng không cho phép xuất ngay cả sang CA, miễn là bản thân việc sử dụng khóa là phù du. Tôi không muốn một điều như vậy cho ví dụ. không từ chối, nhưng tôi có thể xem nó như một phương pháp trung gian (bán) an toàn để xác thực thời gian thực và có thể giải mã. Cuối cùng, tôi cho rằng nó phụ thuộc vào ngữ cảnh.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.