ใบรับรองเอนทิตีที่ไม่มีส่วนขยายข้อจำกัดพื้นฐานมีความเสี่ยงหรือไม่

278342304

7/1/23 09:03

ดูเหมือนว่าผู้ออกใบรับรองสาธารณะจะรวมส่วนขยายข้อจำกัดพื้นฐานไว้ด้วยเสมอเหตุใดจึงเป็นแนวทางปฏิบัติที่ดีที่สุด PKI มีความเสี่ยงอย่างไรในการออกใบรับรองเอนทิตีที่ไม่มี “การลงนามใบรับรอง” ในรายการการใช้งานคีย์ แต่ไม่มีส่วนขยายข้อจำกัดพื้นฐาน

ฉันได้อ่านบางส่วนของ https://www.ietf.org/rfc/rfc5280.txt. จากสิ่งที่ฉันเข้าใจ ใบรับรอง CA ต้องมีบิต keyCertSign และส่วนขยายข้อจำกัดพื้นฐานที่สำคัญ ฉันยังสงสัยว่าใบรับรองสำหรับ TLS หรือ Code Signing ต้องมีส่วนขยายข้อจำกัดพื้นฐานหรือไม่ เนื่องจากบิตการใช้คีย์ดูเหมือนจะป้องกันการใช้งานในทางที่ผิดอยู่แล้ว หากเป็นเพราะการใช้งานแบบดั้งเดิมบางอย่าง ฉันต้องการทราบว่าอันไหน

ในการทดสอบ ฉันออกใบรับรองจากใบรับรองระดับกลางโดยไม่มีส่วนขยายข้อจำกัดพื้นฐานและมีการใช้คีย์ âลายเซ็นดิจิทัล การเข้ารหัสคีย์ (a0)â สำหรับใบรับรองที่ไม่ถูกต้องนี้ในห่วงโซ่ โปรแกรมดูใบรับรองของ Windows แจ้งว่า 'ใบรับรองนี้ดูเหมือนจะไม่ถูกต้องสำหรับวัตถุประสงค์ที่เลือก' ดังนั้น ฉันจึงไม่พบช่องโหว่เฉพาะเจาะจงสำหรับใบรับรองนี้ในการใช้งาน Windows ปัจจุบัน แต่ไม่แน่ใจว่ามีช่องโหว่สำหรับการใช้งานอื่นๆ หรือไม่

1 + 1

dave_thompson_085

8/1/23 02:07

แม้ว่าพรมแดนระหว่างการเข้ารหัสลับและความปลอดภัยมักจะคลุมเครือ แต่ฉันจะบอกว่าสิ่งนี้อยู่ในด้านความปลอดภัย ซึ่งมีการกล่าวถึงใบรับรองและโดยเฉพาะอย่างยิ่งใบรับรอง CA _lot_; **สำหรับกรณีนี้ โปรดดู** ลิงก์ที่ฉันรวบรวมได้ที่

ตอบกลับ

Score:0

Crypto

Daniel S

8/1/23 11:14

ช่องโหว่นี้เป็นการใช้งานเฉพาะ การใช้งานบางอย่างจะตรวจสอบการใช้คีย์อย่างระมัดระวัง บางอย่างจะไม่ตรวจสอบ ความล้มเหลวของ CA ในการกรอกข้อมูลในฟิลด์ข้อจำกัดพื้นฐานและความล้มเหลวโดยเบราว์เซอร์ในการตรวจสอบฟิลด์นั้นถูกใช้ประโยชน์จากชื่อเสียงโดย Moxie Marlinspike และเครื่องมือ sslsniff ของเขา (ดู สไลด์จากการพูดคุยของ BlackHat ในปี 2009). เนื่องจากการพูดคุยดังกล่าวต้องใช้ความพยายามอย่างมากในการทำให้มั่นใจว่าฟิลด์เหล่านี้ได้รับการตรวจสอบความถูกต้องและตรวจสอบ อย่างไรก็ตาม ใครก็ตามที่ใช้เบราว์เซอร์รุ่นเก่าก็ยังมีโอกาสเสี่ยง (Marlinspike กล่าวถึง IE, Konqueror และ OpenSSL ว่าเป็นช่องโหว่ในตอนแรกและกล่าวเสริมอย่างเป็นลางไม่ดีว่า "คุณจะต้องแปลกใจที่ยัง ไม่ตรวจสอบข้อจำกัดพื้นฐาน")

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Are end-entity certificates without basic constraints extension vulnerable?

TH: ใบรับรองเอนทิตีที่ไม่มีส่วนขยายข้อจำกัดพื้นฐานมีความเสี่ยงหรือไม่

RO: Sunt vulnerabile certificatele de entitate finală fără extensie de constrângeri de bază?

RU: Уязвимы ли сертификаты конечного объекта без расширения основных ограничений?

VI: Các chứng chỉ thực thể cuối không có tiện ích mở rộng ràng buộc cơ bản có dễ bị tấn công không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา