Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз Поблагодарили: 2054 раз в 1594 постах
|
Автор: miser В сертификате есть раздел "Итентификатор ключа центра сертификации" (AuthorityKeyIdentifier). Этот раздел состоит из нескольких полей. Код:
The AuthorityKeyIdentifier object.
id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= { id-ce 35 }
AuthorityKeyIdentifier ::= SEQUENCE {
keyIdentifier [0] IMPLICIT KeyIdentifier OPTIONAL,
authorityCertIssuer [1] IMPLICIT GeneralNames OPTIONAL,
authorityCertSerialNumber [2] IMPLICIT CertificateSerialNumber OPTIONAL }
KeyIdentifier ::= OCTET STRING
Встречный вопрос. Почему при анализе проверяется только идентификатор ключа? Ведь можно взять серийный номер. В сертификатах "CN=Любимый УЦ" идентификатор ключа одинаковый, а серийные номера разные. До 795 приказа ФСБ, пункт 24 в сертификатах был только идентификатор ключа. и как видим все это в RFC: OPTIONAL Отредактировано пользователем 22 июля 2015 г. 7:35:46(UTC)
| Причина: RFC |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 152 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах
|
То, что раздел AuthorityKeyIdentifier и его поля являются не обязательными, это понятно. Но с другой стороны, приведенный приказ от 2011 года, через 3-4 года выполняется большинством УЦ. Можно ведь анализировать. Код:
Находим сертификаты УЦ по полю Issuer сертификата.
Для каждого найденного сертификата УЦ
Если в проверяемом сертификате есть раздел AuthorityKeyIdentifier,
Если есть идентификатор сертификата издателя и не совпадает с идентификатором найденного сертификата УЦ
найденный сертификат УЦ нельзя использовать для построения цепочки сертификатов.
Если есть серийный номер сертификата издателя и не совпадает с серийным номером сертификата УЦ
найденный сертификат УЦ нельзя использовать для построения цепочки сертификатов.
Если есть наименование владельца сертификата издателя и не совпадает с наименованием владельца сертификата УЦ
найденный сертификат УЦ нельзя использовать для построения цепочки сертификатов.
Если подпись проверяемого сертификата не проходит проверку на открытом ключе сертификата УЦ
найденный сертификат УЦ нельзя использовать для построения цепочки сертификатов.
Найденный сертификат УЦ добавить в список рассматриваемых сертификатов для анализа цепочки сертификатов.
При таком алгоритме мы получим только одну цепочку, а не две цепочки. Отредактировано пользователем 22 июля 2015 г. 10:43:29(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close