Riesco a trovare i loro valori e tutti i dettagli nella RFC, ma non riesco a trovare il motivo per cui è stato deciso di avere questo attributo nei certificati, invece di lasciarli essere multiuso.
Esiste un ragionamento dietro questa scelta (lunghezza della chiave?) o è strettamente correlato al business, in quanto hanno un prezzo molto diverso?
In senso stretto, una chiave non dovrebbe essere "multiuso". Usi chiave distinti richiedono una vita chiave incompatibile cicli . L'estensione Key Usage è un formalismo di questo fatto.
Ad esempio, le chiavi utilizzate per le firme e l'autenticazione potrebbero andare perse con conseguenze relativamente basse: se la tua smart card viene distrutta, non puoi più firmare, ma nessun dato viene perso; hai solo bisogno di ricevere una nuova smart card (questo è scomodo, ma non si è verificata alcuna violazione della sicurezza). Ma non vuoi che le persone inizino a criptare i dati con quella chiave pubblica di sola firma, perché in quel caso devi fare i backup della chiave, per evitare la perdita di dati in caso di perdita chiave: la smart card si opporrà strongmente ai backup, per costruzione. L'estensione Key Usage documenta l'idea che una chiave di firma debba essere utilizzata per le firme solo perché non verrà backuppata. Viceversa, una chiave di crittografia sarà normalmente affittata da qualche parte, e quindi non vuoi persone considerarla vincolante se usata per le firme: ciò consentirebbe a chiunque abbia accesso al sistema di deposito / garanzia a firmare "nel tuo nome". Anche in questo caso, l'estensione Key Usage protegge da questo.
Leggi altre domande sui tag public-key-infrastructure certificates x.509