Esistono esempi pubblici di un attributo crittografato in un certificato emesso da Verisign?

4

Questo documento Credentica-UProve descrive come Verisign emette certificati (o ha emesso in passato) certificati con attributi crittografati :

"VeriSign issues certificates that contain encrypted attributes that can be unlocked only by verifiers that meet the qualifications necessary to receive the required decryption key from a trusted third party"

  • Esistono esempi pubblici di questo utilizzo?

  • Quali sono alcuni casi d'uso che richiederebbero questo attributo?

  • È irragionevole supporre che potrei incorporare attributi simili nella mia CA? (MSFT o altro)

posta random65537 17.07.2013 - 23:59
fonte

1 risposta

3

Questo commento sembra parlare di una vecchia estensione VeriSign chiamata CZAG. Sembra essere stato relativamente comune una dozzina di anni fa, ma non sono sicuro che sia ancora usato. In effetti, sembra che il sistema di crittografia fosse estremamente sciatto; questo articolo (pubblicato su Usenix nel 2002) descrive l'estensione, che contiene e cosa trapelano attraverso un uso veramente scadente della crittografia.

La ricerca dell'estensione OID (2.16.840.1.113733.1.6.3) su Google rivela alcuni esempi di certificati contenenti tale estensione, ad es. questo (questo è un URL GitHub , Non sono sicuro di quanto tempo sarà valido)

Sembra che il caso d'uso per questa estensione fosse del tipo "VeriSign vuole fare soldi". La promessa commerciale era che gli utenti, con certificati abilitati CZAG, potevano registrarsi su alcuni siti Web, il sito estraeva automaticamente i dati demografici dell'utente ("Paese, Zip, Età e Sesso") senza richiedere all'utente di inserire le informazioni stesse. Per qualche ragione, in quei giorni, la gente pensava che fosse bello avere siti Web casuali che accedessero automaticamente alle loro informazioni private senza controllo. Ad ogni modo, era un sistema di opt-out, quindi si può presumere che la maggior parte degli utenti fosse semplicemente inconsapevole di questi imbrogli.

La maggior parte dei riferimenti a CZAG che ho trovato risalgono a prima dell'articolo del 2002, quindi suppongo che questa estensione sia stata discretamente rimossa dalle procedure di VeriSign dopo che è stato dimostrato quanto fosse debole l'offuscamento.

    
risposta data 26.07.2013 - 22:49
fonte