X509 인증서에는 keyUsage 비트가 설정되어 있습니다. 그 중 두 개는 입니다. digitalSignature
nonRepudiation (최근 X.509 버전에서는 contentCommitment로 이름이 바뀌 었습니다).X509 인증서에 nonRepudiation 비트가 PKCS7 서명을 확인하도록 설정해야합니까?
나는 X509 RFC (http://tools.ietf.org/html/rfc5280)를 읽고이 비트의 일반적인 사용법에 대해 이야기합니다.
그리고 PKCS7 RFC (http://tools.ietf.org/html/rfc2315)를 읽고 PKCS7 구조에 대해 이야기하고 어떤 비트를 설정해야 하는지를 지정하지 않습니다.
하나 또는 둘 모두 설정해야하는지 식별하는 RFC 또는 다른 사양이 있습니까?
감사하는 PKCS # 7 파일은 일반적으로 인증서 체인을 포함
빅터. 루트 CA 인증서, 적용되는 모든 중간 CA 인증서 및 엔드 포인트 인증서 (SSL, 전자 메일 등) PKCS # 7은 일반적으로 이러한 인증서를 단일 파일로 묶는 데 사용됩니다. 키 체인 (keystore) 또는 다른 의존 응용 프로그램으로 전체 체인을 한 번에 가져올 수 있다는 점에서 유용합니다.
키 사용 비트는 특정 인증서의 필요와 용도에 따라 설정됩니다. 예를 들어 루트 CA 인증서에는 일반적으로 디지털 서명과 부인 방지 인증서가 모두 설정됩니다. SSL 인증서의 경우 키 암호화 및 디지털 서명을 찾을 수 있습니다. PKCS # 7 파일에 포함 된 CA 인증서에 대해 언급하지 않는 한 주요 사용법과 PKCS # 7 파일 간에는 상관 관계가 없습니다.
알아두기,이 비트는 설계에서의 관심사의 분리를 위반합니다. 부인 방지는 비즈니스 수준에서 협의 된 법적 문제입니다. 인증서/서명 수준에서 비트를 사용하는 것은 부적합합니다. 예 : http://www-personal.umich.edu/~lsiden/tutorials/signed-applet/ShockingTruth.html
왜 투표가 늦습니까? –
나는 이것을 두 번 들었다. 합법적으로 말하면, 부인 방지 비트의 존재 여부에 따라 차이가 없다는 것입니다. –
알 수 있습니다. 내 생각을 확증 해준다고 생각합니다. PKCS # 7이 많은 곳에서 SMIME과 거의 동의어 인 문제. 그리고 SMIME은 부인할 필요가 없기 때문에 혼란 스럽습니다. –
PKCS # 7은 실제로 "디지털 서명 된 메시지"를 나타냅니다. 따라서 실제로 말하는 PKCS # 7 데이터 유형에 따라 다릅니다. S/MIME에 대해 이야기하고 있다면 "디지털 서명"과 "부인 방지"가 필요합니다. 인증서 집합을 캡슐화하는 파일에 대해 이야기하는 경우 중요한 것은 아닙니다. – Shadowman
완벽하게 호환되지 않는 PKCS # 7, S/MIME, PKIX, CMS 같은 거의 동일한 것들을 말하는 몇 가지 표준이 있습니다. 나는 내가 사용해야만했던 레거시 소프트웨어와 호환되지 않는 것으로 입증되지 않는 한 CMS (RFC 5652)를 따르려고합니다. 부인 방지 (non-repudiation)가 진행되는 한 : 비대칭 암호화를 사용하는 모든 디지털 서명은 부인 방지를 제공합니다 (개인 키를 안전하게 유지하는 한 다른 당사자가 서명을 위조 할 수는 없음). 그러나 일부 표준에서는 부인 방지를 핵심으로 명시 적으로 요구하는 인증서 용도. 부인 방지는 서명을 의미하므로 둘 다 필요하지 않습니다. – dajames