Il mio obiettivo è di rendere l'identificazione personale di un certificato "più semplice" da verificare e non ridurre la sicurezza nel farlo.
Dato che la tecnologia Bitcoin basata su RSA ha un concetto chiamato "Indirizzo vanity" in cui le chiavi casuali vengono rigenerate più e più volte finché l'hash non ha bit principali definiti dall'utente (il contenuto e la lunghezza dei bit è arbitraria) e non riduce la sicurezza, penso che sia possibile applicare questo concetto a una CA e alla sua impronta digitale / impronta digitale e semplificare la convalida manuale.
Ovviamentelapotenzadicalcolonecessariaperpersonalizzareibitprincipalidiquestohashdiventapiùlunga(esponenzialmentepiùlunga??)perognibitchevogliamopersonalizzare,questaattivitàriduceinqualchemodolasicurezza?
Domanda
Aumenterebbelasicurezzapericertificatiradicenonattendibilicherichiedonolaverificamanuale?Chediredeglialtritipidicertificato?
Poiché
SHA1 è protetto contro i secondi attacchi di preimage , c'è qualche rischio di avere una CA continuamente rigenera le chiavi in modo che l'impronta digitale sopra possa leggere 01:23:45:67:89:01:23:45:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
(numero variabile di bit impostati, meno bit univoci da verificare)-
Se questa è una buona idea, quanti bit dovrebbero essere impostati per una CA radice con una scadenza lunga, rispetto a una media, contro una CA utente o server Web con una scadenza consecutivamente più breve? (nell'anno 2013)
-
Quale software server supporterà questa personalizzazione o lo scripting di questa rigenerazione fino a quando i criteri non saranno impostati?
-
Quale valore è appropriato per facilitare la convalida? L'impostazione di tutti gli zeri potrebbe rendere più difficile la verifica e poiché la gente pensa che la numerazione sequenziale di Base10 per gli umani possa essere facile
01:02:03:04:05:06:07:08:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx