종료 인증서가있는 보안 토큰을 가진 루트 인증서와 중간 인증서를 어디에서 찾을 수 있습니까?

Question

먼저 디지털 서명과 PKI에서 새로운 것을 말해야합니다. 전체 PKI 인프라가 작동하는 방식에 대해 몇 가지 질문이 있습니다. 내 개인 키가 포함 된 보안 토큰 + 유효한 최종 엔터티 인증서가 있다고 가정 해 보겠습니다. 따라서 나는 문제없이 파일에 서명 할 수 있습니다. 인증서 발급자가 제공 한 소프트웨어를 사용하고 있습니다.

1. 서명 된 파일을 다른 발급자의 소프트웨어를 사용하는 사람에게 보내면 서명을 확인할 수 있습니까? 내 주요 관심사는 여기에 인증서 체인을 구축하기 위해 루트 인증서와 중간 인증서를 얻는 방법입니다./Authority Information Access 필드가 null/인 경우를 말합니다. 사슬을 서명 확인을위한 첫 번째 단계로 만드는 것이 아닙니까?
2. 인증서 발급자가 제공 한 소프트웨어가 중간 및 루트 인증서를 컴퓨터에 설치하는 것으로 보입니다. 그 맞습니까?
3. 인터넷에서 모든 중간/루트 인증서를 찾을 수있는 방법이 있다면 - 내가 어디에서 찾을 수 있습니까?

얼마 전에 내가 메시지를 서명하고 서명자가 보낸 메시지를 확인하기 위해 어떠한 토큰을 사용할 수있는 응용 프로그램을 만들려면이 생각을했다. 체인 유효성 검사, CRL 및 OCSP 검사에 대해 설명합니다. 그게 가능한가?

Answer 1

1. 그들은 서명을 확인할 수, 난 다른 발행자의 소프트웨어를 사용하는 사람에 서명 된 파일을 보낼 것입니다 가정?

암호 학적 네 그는 공개 키를 사용 할 수 있지만 복잡한 과정이다 깊이의 서명을 확인 : 인증 체인

인증서 해지에

신뢰

• 암호 검증 상태
시간이 서명에
• 유효 기간 (인증서가 만료되지 않았거나 서명이 타임 스탬프로 보호

그리고 서명의 형식입니다 필수 요소. 디지털 서명을 캡슐화하는 여러 디지털 서명 형식 (XMLDsig, CMS, CAdES, PKC# 7, JWS, PAdES)이 있으며 검증 소프트웨어는 버전 간의 형식 및 표준의 다른 해석을 처리해야합니다.

여기서 가장 주된 관심사는 인증서 체인을 구축하기 위해 루트 인증서와 중간 인증서를 얻는 방법입니다. 우리는 Authority Information Access 필드가 null 인 경우를 말하고 있습니다 /?

대부분의 디지털 서명 형식은 인증서 자체가 서명에 포함되어야합니다. 그런 다음 검증자는 로컬 신뢰 저장소에 포함되어야하는 루트 인증서까지 인증 체인의 유효성을 검사 할 수 있습니다.

체인 서명 검증하기위한 첫 단계 구축 아닌가?

예, 그렇습니다. 발급자는 인증 체인의 유효성을 검사해야합니다. 로컬 신뢰 저장소에 발급자 루트 인증서가 없으면 서명을 유효한 것으로 간주 할 수 없습니다.

1. 인증서 발급자에 의해 제공되는 소프트웨어가 중간 및 컴퓨터의 루트 인증서를 설치하는 것을 나에게 보인다. 그 맞습니까?

예, 인증서가 컴퓨터에 미리 제공 될 수 있으며, 일부 수술 시스템 또는 프로그래밍 언어가 서명

을 확인하는 데 사용할 수있는 사전로드 된 신뢰할 수있는 발급자의 목록과 신뢰를

3. 인터넷에서 모든 중간/루트 인증서를 찾을 수있는 방법이 있다면 - 내가 어디에서 찾을 수 있습니까?

일반적으로 인증 기관의 웹 페이지에서 다운로드 할 수 있습니다. 인증서에는 발급자를 다운로드 할 수있는 URL이 포함 된 AIA 확장이 포함되어야합니다. 또한 유럽 연합에는 사용중인 모든 인증서에 대한 참조가있는 신뢰할 수있는 공급자의 전체 목록이 있습니다.

얼마 전에 토큰을 사용하여 메시지에 서명하고 ANY 서명자가 보낸 메시지를 확인할 수있는 앱을 만드는 아이디어가있었습니다. 체인 유효성 검사, CRL 및 OCSP 검사에 대해 설명합니다. 그게 가능한가?

예 가능하고 실제 업무 영역입니다. 상업용 디지털 서명 검증 플랫폼이 몇 가지 있습니다. EU가 주도하는 SD-DSS 공개 소스 프로젝트