it-swarm-es.com

Certificado digital personal cómo verificar

Un certificado de servidor tendría su nombre de dominio en su campo de sujeto. Un certificado personal tendría su nombre como el campo del sujeto. ¿Cómo puede estar seguro de que no hay dos certificados con el mismo nombre?

Ej.: - Supongamos que necesita enviar algunos datos encriptados a Usera. ¿Cómo puedes estar seguro de que su usuario y no alguna otra persona? Simplemente, al verificar el nombre en el certificado, no eliminaría el riesgo de hombre en el ataque medio, supongo.

6
user1157

El propósito de un certificado es unir una clave pública con una entidad y esta es responsabilidad de la Autoridad de Registro de la PKI para garantizar que la identidad de la entidad en el El certificado coincide con la entidad del titular de la clave (por ejemplo, para el certificado SSL, una entidad puede ser un servidor, la identidad es el nombre de dominio).

Los procedimientos que describen cómo esta coincidencia es realizada por la RA se puede encontrar en un documento público publicado por PKI y nombrado la política de certificado .

Esta es la responsabilidad del usuario de un certificado (para el cifrado de la validación de la firma) para leer el CP y decidir cuán confiable, la Autoridad de Certificación que emitió este certificado es. Por supuesto, no pone la misma confianza en algunos PKI, que declara que solo se verifica el correo electrónico del titular de la llave y un PKI que entrega el certificado en una tarjeta inteligente, directamente en manos del titular de la tecla, con una verificación de identificación oficial. Pero a veces verificar el correo electrónico puede ser suficiente.

En realidad, las preguntas más importantes que hacer son:

  • ¿Qué datos en el certificado han sido revisados ​​por la RA?
  • ¿Estos datos se recolectaron de manera confiable?
  • De acuerdo con sus necesidades (firma de correo electrónico, firma electrónica de un contrato ...) ¿Puede confiar en el certificado?
9
Jcs

¿Qué tal si utiliza la dirección de correo electrónico del usuario como identificador?

2
Eugene Kogan

Si necesita un identificador único, use el número de serie del certificado combinado con el Emisor DN. Así es como el OCSP lo hace, y está garantizado que sea único. Como dice NealMCB, la información descriptiva en el certificado (el sujeto DN, el sujeto nombre alternativo, etc., etc.) es verificado por la RA, y no es necesario que sea único, a menos que su CA tenga una práctica comercial de administración de la singularidad. Algunos grupos hacen: pueden incluir la identificación de los empleados en el tema DN, por ejemplo, y verificarlo contra una base de datos de empresa como parte del proceso de inscripción. Pero para implementar algo así, debe estar seguro de que está pegando con un sistema PKI que proporciona esto.

2
bethlakshmi