03.01.2002 13:11:27Срок Ответов: 7
vadim
"Срок действия открытого ключа- 1год 3 мес." Чье это ограничение? А если я хочу never expired?
 
Ответы:
03.01.2002 13:22:59kure
Ограничения ФАПСИ.
Увеличивается вероятность неявной компрометации закрытого (секретного) ключа.
03.01.2002 13:29:39vadim
Я должен выдерживать этот срок сам административно или где-то есть программная закладка?
03.01.2002 13:41:02kure
Если использовать сертификаты, то возможно два варианта.
1. Делать дополнение PrivateKeyUsagePeriod и его проверять в сертификате.
2. Проверять срок действия закрытого ключа, основываясь на сроке действия сертификата. Сроки начала действия у них одинаковые.
03.01.2002 14:15:19vadim
вот не хотел спрашивать, но вы первые начали :)
Можно ли построить систему, которая не использует
сертификаты? Чтобы по теории - алиса и боб обменялись открытыми ключами и разошлись, полностью доверяя друг другу. Где-то в конфе вы кажется обещали массу приключений тем, кто захочет сделать такую систему, хотя все эти Цс, СОс и т.п. - лишние навороты, лишь удорожающие разработку систем, в которых безопасность ключей обеспечивается другими методами.
03.01.2002 15:12:51kure
Конечно сделать, чтобы Алиса и Боб обменялись открытыми ключами и работают можно.
Да это уже и есть в примерах использования CryptoAPI.
Но почему то дело обычно Алисой и Бобом не ограничивается. Их становится все больше. Приходится открытые ключи связывать с именами (адресами), делать способы их хранения, поиска, распространения, просмотра, компрометацию и т.д.
Вопрос стоимости конечно не последний. Если бы стоял вопрос о выборе: разработка PKI или реализация через открытые ключи, наверно решение было бы однозначное. Но есть возможность использовать уже существующее и как раз сократить время разработки.
20.02.2002 6:38:22Alexey
Подчиненный центр сертификации в Microsoft CA получает сертификат на 2 года. Из этого возникает проблема: срок окончания действия выдаваемых сертификатов не может быть позже срока окончания действия сертификата ЦС, а договора с клиентами заключаются на год. В итоге у каких-то клиентов срок действия сертификата оказывается меньше года и они могут предьявить претензии. Как решить эту проблему?
20.02.2002 9:37:25kure
Срок действия выпускаемых ЦС сертификатов устанавливается.
Общее правило. Срок действия сертификата не может быть долше сертификата центра.
Срок его действия по умолчанию 1 год (пользователя).
Исправить можно через реестр:
HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\<CA Name>.