La differenza tra Identificatore chiave soggetto e sha1Fingerprint nei certificati X509

7

Ho qualche SW che estrae i dati dei certificati e il SW utilizza OpenSSL. Sono confuso qual è la differenza tra subjectKeyIdentifier e sha1Fingerprint . Entrambi sono valori hash. La mia intuizione è che il subjectKeyIdentifier è l'hash della chiave pubblica del certificato e il sha1Fingerprint è l'hash dei campi generali del certificato. La mia ricerca resa più confusa. Ad esempio, questo riferimento dice circa subjectKeyIdentifier :

This is a hash value of the SSL certificate.

Questo è un esempio di ciò che ottengo dal SW:

"subjectKeyIdentifier": "A8:4A:6A:63:04:7D:DD:BA:E6:D1:39:B7:A6:45:65:EF:F3:A8:EC:A1", "sha1Fingerprint": "E6:A3:B4:5B:06:2D:50:9B:33:82:28:2D:19:6E:FE:97:D5:95:6C:CB"

Qual è la differenza tra i due hash? A cosa serve ciascun hash?

    
posta user9371654 24.12.2018 - 05:16
fonte

1 risposta

8

L' identificativo della chiave soggetto (SKID) è un'estensione x509 e quindi parte del certificato. L'impronta digitale invece non fa parte del certificato ma è invece calcolata dal certificato. Un certificato non deve necessariamente avere uno SKID e può avere al massimo uno SKID. Ma dal momento che l'impronta digitale è solo una calcolata dal certificato, possono esserci più impronte digitali, come una che usa SHA-1, una che usa SHA-256, una che usa MD5 ...

Lo SKID viene utilizzato per creare la catena di fiducia non basata sull'oggetto del certificato e sull'emittente ma sul certificato SKID e sull'identificatore della chiave di autorità (AKID). Ciò semplifica il trattamento delle situazioni in cui la stessa stringa soggetto viene utilizzata con più certificati CA. Mentre la RFC 3280 descrive i metodi comuni per generare SKID l'unico vero requisito è che lo SKID del Il certificato CA deve corrispondere all'AKID in tutti i certificati emessi da questa CA.

Nell'esempio seguente si può chiaramente vedere che lo SKID BB:AF:7E:02:3D:FA:... dell'emittente corrisponde all'AKID del certificato emesso:

    ...
    Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    ...
    Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA
    ...
    X509v3 extensions:
        X509v3 Authority Key Identifier: 
            keyid:BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4

    ----

    ...
    Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    ...
    Subject: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
    ...
    X509v3 extensions:
        X509v3 Subject Key Identifier: 
            BB:AF:7E:02:3D:FA:A6:F1:3C:84:8E:AD:EE:38:98:EC:D9:32:32:D4
    
risposta data 24.12.2018 - 07:54
fonte