X509 인증서에는 keyUsage 비트가 설정되어 있습니다. 그 중 두 개는 입니다. digitalSignature
nonRepudiation (최근 X.509 버전에서는 contentCommitment로 이름이 바뀌 었습니다).X509 인증서에 nonRepudiation 비트가 PKCS7 서명을 확인하도록 설정해야합니까?
나는 X509 RFC (http://tools.ietf.org/html/rfc5280)를 읽고이 비트의 일반적인 사용법에 대해 이야기합니다.
그리고 PKCS7 RFC (http://tools.ietf.org/html/rfc2315)를 읽고 PKCS7 구조에 대해 이야기하고 어떤 비트를 설정해야 하는지를 지정하지 않습니다.
하나 또는 둘 모두 설정해야하는지 식별하는 RFC 또는 다른 사양이 있습니까?
감사하는 PKCS # 7 파일은 일반적으로 인증서 체인을 포함
알 수 있습니다. 내 생각을 확증 해준다고 생각합니다. PKCS # 7이 많은 곳에서 SMIME과 거의 동의어 인 문제. 그리고 SMIME은 부인할 필요가 없기 때문에 혼란 스럽습니다. –
PKCS # 7은 실제로 "디지털 서명 된 메시지"를 나타냅니다. 따라서 실제로 말하는 PKCS # 7 데이터 유형에 따라 다릅니다. S/MIME에 대해 이야기하고 있다면 "디지털 서명"과 "부인 방지"가 필요합니다. 인증서 집합을 캡슐화하는 파일에 대해 이야기하는 경우 중요한 것은 아닙니다. – Shadowman
완벽하게 호환되지 않는 PKCS # 7, S/MIME, PKIX, CMS 같은 거의 동일한 것들을 말하는 몇 가지 표준이 있습니다. 나는 내가 사용해야만했던 레거시 소프트웨어와 호환되지 않는 것으로 입증되지 않는 한 CMS (RFC 5652)를 따르려고합니다. 부인 방지 (non-repudiation)가 진행되는 한 : 비대칭 암호화를 사용하는 모든 디지털 서명은 부인 방지를 제공합니다 (개인 키를 안전하게 유지하는 한 다른 당사자가 서명을 위조 할 수는 없음). 그러나 일부 표준에서는 부인 방지를 핵심으로 명시 적으로 요구하는 인증서 용도. 부인 방지는 서명을 의미하므로 둘 다 필요하지 않습니다. – dajames