Certificazione incrociata tra mondi come X.509 e PGP?

4

A volte può essere vantaggioso utilizzare le relazioni di fiducia esistenti in un mondo di certificazione - X.509 o PGP - per creare fiducia nell'altro mondo. Al livello più basso posso sempre prendere un certificato X.509, ad esempio un certificato autofirmato SSL o di firma del codice, e fornire una firma separata con la mia chiave PGP. Qualcuno che si fida della mia chiave PGP può quindi fidarsi del certificato X.509, dopo aver verificato la firma.

Ciò comporta alcuni passaggi manuali, ma è meno ingombrante e meno incline agli errori che dire alle persone di confrontare le impronte digitali lunghe chiave cifra per cifra. Se non riducono il confronto dettagliato con una rapida occhiata o saltano del tutto il controllo ...

Esistono strumenti che supportano la certificazione incrociata direttamente, ad esempio la memorizzazione di un certificato "alieno" come proprietà di un certificato "nativo" o indirettamente? Qualche documento interessante che esplori tali usi?

ATM Sto indagando sul problema per sé, ma dove la scarpa in realtà fa male è che i prezzi esorbitanti per la firma del codice ei certificati SSL (server e client) lasciano privati e piccole imprese .

    
posta DarthGizka 11.06.2015 - 14:17
fonte

1 risposta

1

I sistemi di fiducia di OpenPGP (web of trust) e X.509 (gerarchico) non sono compatibili, e nemmeno le firme (la "matematica dietro" di entrambi rispetto alle chiavi sarebbe, a patto che il gli algoritmi sono definiti per entrambi, ad esempio con RSA).

Mentre si può facilmente mappare il sistema gerarchico di fiducia X.509 alla più potente (e complessa) rete di fiducia di OpenPGP, il contrario non è possibile per una soluzione generale. Ciò che sarebbe possibile è in effetti la generazione di certificati X.509 affidabili per tutte le chiavi OpenPGP convalidate.

Ciò richiederebbe un software proprietario (nel senso che non esiste uno standard che definisca come farlo) su ciascun computer client che desidera validare, non sono a conoscenza di alcuna soluzione per questo.

Ciò che è disponibile è il Add-on di Monkeysphere Firefox per la convalida con i certificati OpenPGP in HTTP, che cerca di portare OpenPGP per il web - ma è propietary (con la stessa definizione di sopra) in ogni caso, e non l'ho mai visto essere utilizzato in the wild.

    
risposta data 11.06.2015 - 14:53
fonte

Leggi altre domande sui tag