Score:0

รหัสส่วนตัวที่ตรงกันของใบรับรอง - จะรับได้อย่างไร

ธง jp

หาก A มีใบรับรองที่ออกโดย CA_X แน่นอน A ควรมีคีย์ส่วนตัวของ ใบรับรอง คำถามของฉันคือ A สร้างคีย์ส่วนตัวด้วยตัวเองหรือ , the รหัสส่วนตัวถูกสร้างขึ้นโดย CA_X และ CA_X ส่งไปยัง A ด้วยวิธีใด

Score:2
ธง jp

ตามความเข้าใจของฉัน คีย์ส่วนตัวควรสร้างและเก็บไว้โดยผู้ถือ (หรือหัวเรื่อง) ของใบรับรอง รหัสสาธารณะและข้อมูลเพิ่มเติมบางส่วนจะถูกส่งไปยัง CA อย่างไรก็ตาม CA ไม่ควรทราบคีย์ส่วนตัวของใบรับรอง

ความเข้าใจข้างต้นถูกต้องหรือไม่?

fgrieu avatar
ng flag
ใช่ นั่นเป็นวิธีมาตรฐานในการทำสิ่งต่างๆ มีเพียงผู้ถือ/หัวเรื่องของใบรับรองเท่านั้นที่รู้คีย์ส่วนตัว สิ่งที่ส่งไปยัง CA เรียกว่าคำขอลงนามใบรับรอง (CSR) โดยทั่วไปจะประกอบด้วยคีย์สาธารณะ การระบุข้อมูล และลายเซ็นโดยใช้คีย์ส่วนตัว CA ส่งใบรับรองกลับ CSR และใบรับรองสามารถเผยแพร่ต่อสาธารณะได้อย่างปลอดภัย (แต่โดยปกติแล้วจะมีเฉพาะใบรับรองเท่านั้น)
Score:1
ธง in

มีและเป็นผู้ออกใบรับรองที่ให้บริการสร้างคู่กุญแจ นั่นไม่ควรเป็นวิธีที่ชอบอย่างแน่นอน ประการแรก อนุญาตให้ CA ทำหน้าที่เป็นเอนทิตีที่มีคีย์ส่วนตัว เนื่องจากอาจเก็บไว้ $^1$. ประการที่สอง หมายความว่าการขนส่งคีย์ส่วนตัวจะต้องมีความปลอดภัย สุดท้าย อาจทำให้พื้นที่เก็บข้อมูลปลอดภัยน้อยลง โดยทั่วไปคุณไม่ต้องการให้ใส่ค่าในหน่วยความจำที่ไม่ปลอดภัย ซึ่งอาจถูกสลับไปยังอุปกรณ์จัดเก็บข้อมูล

โดยทั่วไป คุณจะพยายามรักษาคีย์ส่วนตัวให้ปลอดภัยที่สุด โดยทั่วไปหมายความว่าค่าคีย์จะถูกถ่ายโอนเท่านั้น ถ้า จำเป็นต้องมีการสำรองข้อมูล บางครั้งการขอคีย์ใหม่ควรเป็นที่ต้องการ แต่การสร้างคู่คีย์ใหม่หมายความว่าจำเป็นต้องเปลี่ยนใบรับรองด้วย และนั่นอาจใช้ทรัพยากรมากเกินไป (เงิน ค่าใช้จ่ายในการสื่อสาร ขั้นตอนการจัดการคีย์ ฯลฯ) บางครั้งค่าคีย์อาจถูกใช้โดยเซิร์ฟเวอร์ที่เกี่ยวข้องหลายตัว (เช่น สำหรับใบรับรองไวด์การ์ด)

โปรดทราบว่าในการขอใบรับรอง คุณต้องลงนามในคำขอลงนามใบรับรองหรือ CSR โดยใช้คีย์ส่วนตัวเท่านั้น ซึ่งช่วยให้คีย์ส่วนตัวยังคงอยู่ในที่เก็บคีย์ที่ปลอดภัยหรือโทเค็น (ฮาร์ดแวร์) เช่น TPM หรือ HSM แทนที่จะโหลดลงในหน่วยความจำที่ไม่ปลอดภัย


หนึ่งใน CA ที่ให้บริการสร้างคู่คีย์คือ DigiNotar เป็น CA ที่ไม่ปลอดภัยอย่างฉาวโฉ่ที่ล้มละลายหลังจากพบว่าคุณสามารถขอใบรับรองสำหรับโดเมนใดก็ได้


$^1$ แม้ว่าพวกเขาสามารถลงนามในคำขอใบรับรองที่ไม่ถูกต้องได้ก็ตาม โดยหลักการแล้ว พวกเขาไม่ต้องการคำขอจากผู้ใช้รายใดรายหนึ่ง กระบวนการจะค่อนข้างแตกต่างออกไป และโดยปกติแล้วควรลงเอยด้วยการบันทึกการตรวจสอบ หากพวกเขากำลังจะลงนามในคำขอของตนเอง

Maarten Bodewes avatar
in flag
ฉันค่อนข้างแน่ใจว่าฉันเห็น CA ที่มีอยู่ในปัจจุบันให้บริการสร้างคู่คีย์ ฉันจะพยายามหามัน และทำให้พวกเขาอับอายต่อหน้าสาธารณชน
jp flag
สำหรับตัวอย่างว่า CA สร้างและเก็บรักษาคีย์ส่วนตัวผิดพลาดได้อย่างไร: Trustico จัดเก็บคีย์ส่วนตัวที่ไคลเอ็นต์สร้างขึ้นทางออนไลน์ และหละหลวมอย่างมากเกี่ยวกับการรักษาความปลอดภัย ซึ่งนำไปสู่ ​​[ใบรับรอง 23,000 ใบต้องถูกเพิกถอนโดยมีการแจ้งล่วงหน้าเพียงเล็กน้อย](https: //arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/) Trustico ยังคงอยู่ในธุรกิจ (ฉันไม่รู้ว่าทำไม) แต่อย่างน้อยพวกเขาก็ [ไม่ทำอย่างนั้นอีกแล้ว](https://www.trustico.com/csr/generate-csr-howto.php)
dave_thompson_085 avatar
cn flag
Maarten: ลองออกใบรับรอง EV codesigning certs; พวกเขาจำเป็น (เน้นเพิ่ม) เพื่อ "**ตรวจสอบให้แน่ใจ** ว่าคีย์ส่วนตัวของสมาชิกถูกสร้างขึ้น จัดเก็บ และใช้ในโมดูลการเข้ารหัสลับที่ตรงหรือเกินกว่า ... FIPS 140-2 ระดับ 2 หรือ CC EAL 4+" IMLE CA ดังกล่าวได้ตัดสินใจว่าถูกกว่าสำหรับพวกเขาที่จะซื้อโมดูล (ซื้อจำนวนมากโดยมีส่วนลด) ที่ไม่รองรับการส่งออกคีย์ ดูแลการสร้างคีย์ และจัดส่งให้คุณ แทนที่จะให้คุณจ่ายเงินหลายหมื่นเพื่อตรวจสอบของคุณ การติดตั้งและใช้งานอุปกรณ์ของตัวเอง
Maarten Bodewes avatar
in flag
มีบางอย่างที่ต้องทำหากฮาร์ดแวร์ไม่อนุญาตให้ส่งออกไปยัง CA ตราบใดที่การใช้คีย์นั้นเป็นชั่วคราว ฉันไม่ชอบสิ่งนั้นสำหรับเช่น ไม่ใช่การปฏิเสธ แต่ฉันเห็นว่ามันเป็นวิธีการระดับกลางที่ปลอดภัย (กึ่ง) สำหรับการตรวจสอบสิทธิ์ตามเวลาจริงและอาจถอดรหัสได้ ในที่สุดมันก็มาถึงบริบทที่ฉันคิด

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา