Forum » Informacijska varnost » Prevzemanje digitalnega potrdila
Prevzemanje digitalnega potrdila
Dualis ::
Pozdrav !
Prosil bi vas samo za razjasnitev določenega dela pri PKI. Za digitalna potrdila, pri katerih se generira par RSA ključev na določenem računalniku in se zahtevek za digitalno potrdilo pošlje elektronsko, mi je jasno, da privatni ključ ne zapusti PC-ja in je v zahtevku vključen javni del ključa, ki pa je kasneje tudi del digitalnega potrdila. Ni mi pa jasno pri sistemu, ki gre kot pisna vloga npr. NLB.... in RSA par tvori izdajatelj. Ali v tem primeru skupaj z digitalnim potrdilom na PC ali pametno kartico prevzamem tudi zasebni ključ in kdo mi garantira, da ga izdajatelj pri sebi res uniči?
Prosil bi vas samo za razjasnitev določenega dela pri PKI. Za digitalna potrdila, pri katerih se generira par RSA ključev na določenem računalniku in se zahtevek za digitalno potrdilo pošlje elektronsko, mi je jasno, da privatni ključ ne zapusti PC-ja in je v zahtevku vključen javni del ključa, ki pa je kasneje tudi del digitalnega potrdila. Ni mi pa jasno pri sistemu, ki gre kot pisna vloga npr. NLB.... in RSA par tvori izdajatelj. Ali v tem primeru skupaj z digitalnim potrdilom na PC ali pametno kartico prevzamem tudi zasebni ključ in kdo mi garantira, da ga izdajatelj pri sebi res uniči?
fiction ::
Problem je v zaupanju v CA. Če so postopki res ok, je stvar revizije. Ni treba, da ne uniči zasebnega ključa. Lahko enostavno generira nov keypair in izda (podpiše) še en certifikat za Janeza Novaka. Ok, public key v x.509 certifikatu bo različen, ampak itak se ponavadi gleda samo na subject in validity (za določene zaupanja vredne issuerje).
CA je ključen pri PKI in če je ta kompromitiran vse pade.
CA je ključen pri PKI in če je ta kompromitiran vse pade.
Dualis ::
Hvala !
Torej, če te prav razumem pri prevzemanju digitalnega potrdila jaz npr. preko spleta dejansko prevzamem tudi zasebni ključ?
Lp
Torej, če te prav razumem pri prevzemanju digitalnega potrdila jaz npr. preko spleta dejansko prevzamem tudi zasebni ključ?
Lp
Dualis ::
Matthai hvala !
Tukaj mi nekaj ne gre skupaj glede samega postopka, ko se napr. odda pisna vloga potem pa zadeve tečejo preko spleta. Obstaja mogoče kakšna stran, kjer bi bilo nazorno prikazano kako zadeve delujejo?
Hvala in LP
Tukaj mi nekaj ne gre skupaj glede samega postopka, ko se napr. odda pisna vloga potem pa zadeve tečejo preko spleta. Obstaja mogoče kakšna stran, kjer bi bilo nazorno prikazano kako zadeve delujejo?
Hvala in LP
fiction ::
SIGEN-CA ima to rešeno preko keygen HTML taga. Ta tag je uvedel Netscape dolgo nazaj, ampak zdaj je to, kolikor vem, del HTML5 standarda. Pri IE je nekaj čaranja z ActiveX.
Ti oddaš najprej v papirni obliki vse podatke, osebno se preveri tvojo identiteto itd. Če je vse ok, se to shrani v neko bazo in dobiš kodo za prevzem. Tam se uporabi keygen tag. To pomeni, da se pri tebi zgenerira zasebni ključ, javni del ključa pa se pošlje kot HTTP request na server. Tam se to na podlagi referenčne številke to kombinira s podatki o tebi iz baze (kot bi poslal ročno CSR). V končni fazi mora CA to podpisati (npr. tako). Lahko ima svoj privaten ključ na pametni kartici, ampak še vedno je težava v tem, da direktno request preko weba sproži podpisovanje. Drug problem je pa to, da so od tam dosegljivi tvoji osebni podatki. To je najbrž rešeno tako, da je vse skupaj šifrirano z nekim simetričnim algoritmom in key pozna samo še tisti, ki je tvoje zadeve vpisal not. Po pošti namreč dobiš še "avtorizacijsko kodo". In to je to, CA ti pošlje nazaj certifikat.
Ti oddaš najprej v papirni obliki vse podatke, osebno se preveri tvojo identiteto itd. Če je vse ok, se to shrani v neko bazo in dobiš kodo za prevzem. Tam se uporabi keygen tag. To pomeni, da se pri tebi zgenerira zasebni ključ, javni del ključa pa se pošlje kot HTTP request na server. Tam se to na podlagi referenčne številke to kombinira s podatki o tebi iz baze (kot bi poslal ročno CSR). V končni fazi mora CA to podpisati (npr. tako). Lahko ima svoj privaten ključ na pametni kartici, ampak še vedno je težava v tem, da direktno request preko weba sproži podpisovanje. Drug problem je pa to, da so od tam dosegljivi tvoji osebni podatki. To je najbrž rešeno tako, da je vse skupaj šifrirano z nekim simetričnim algoritmom in key pozna samo še tisti, ki je tvoje zadeve vpisal not. Po pošti namreč dobiš še "avtorizacijsko kodo". In to je to, CA ti pošlje nazaj certifikat.
Dualis ::
Pozdrav !
Zanima me ali je možno zasebni ključ kje videti? ActivClient programska oprema javni ključ prikaže, zasebnega pa ne. Ali obstaja kakšen način videti vsebino zasebega ključa?
Hvala in LP
Zanima me ali je možno zasebni ključ kje videti? ActivClient programska oprema javni ključ prikaže, zasebnega pa ne. Ali obstaja kakšen način videti vsebino zasebega ključa?
Hvala in LP
metalc ::
Na pametni kartici naj to ne bi bilo mogoče (samo podpis podanega bloka).
Za certifikate v datotekah (.pfx) bi pa moralo iti. Poglej si malo OpenSSL. Buildanje na kakšnih Windowsih zna biti precej "zabavno", ampak mogoče dobiš že zbuildan openssl.exe. Več
Za certifikate v datotekah (.pfx) bi pa moralo iti. Poglej si malo OpenSSL. Buildanje na kakšnih Windowsih zna biti precej "zabavno", ampak mogoče dobiš že zbuildan openssl.exe. Več
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Backup in uvoz SIGEN-CA certifikataOddelek: Omrežja in internet | 13244 (2133) | kow |
| » | Halcom ena za vse kako z njo podpisovati pošto v Thunderbirdu in drugjeOddelek: Informacijska varnost | 2984 (2381) | mat xxl |
| » | Kje na disku je shranjen certifikat za bankoOddelek: Pomoč in nasveti | 20711 (18747) | technolog |
| » | Preverjanje digitalnega podpisaOddelek: Informacijska varnost | 8413 (6565) | neki4 |
| » | Certifikat na USB ključOddelek: Pomoč in nasveti | 7612 (7343) | StratOS |