Comprensione del processo di firma e verifica attraverso una CA.

Question

Comprensione del processo di firma e verifica attraverso una CA.

#1 da (2 voti)

3

Ho svolto ricerche su questo argomento e ho bisogno di capire l'esatto processo di firma e verifica quando effettuato attraverso una CA attendibile. Da quello che ho capito, questo è il modo in cui funziona a un livello molto alto:

Si acquista un certificato con una CA attendibile
La chiave privata di questo certificato è memorizzata in modo sicuro sul server
I messaggi vengono firmati utilizzando la chiave privata di questo certificato
Nell'applicazione client, l'archivio CA viene caricato e la verifica viene eseguita su di esso. La verifica ha esito positivo se il certificato è considerato affidabile dalla CA e non ha esito positivo.
Se la chiave privata viene compromessa, revochi il certificato e ne acquisti uno nuovo. Qualsiasi client che verifica ancora con il certificato revocato non avrà esito positivo.

Ora la mia domanda è; poiché ogni CA ha la propria chiave pubblica e il client sta verificando contro tale CA, e non direttamente con la mia chiave pubblica, come viene realizzato il collegamento tra la chiave pubblica della CA e la mia chiave pubblica (che è firmata con quella CA)? Questa funzione di collegamento è eseguita internamente dalla CA?

Grazie in anticipo.

public-key-infrastructure certificates certificate-authority

posta seedg 14.10.2015 - 18:59

fonte

1 risposta

Leggi altre domande sui tag public-key-infrastructure certificates certificate-authority

chiave GPG scaduta su mykeyring, ma ancora valida su keyserver Un malware Android può installare un certificato SSL / TLS in dispositivi non-root?

score 2 · Accepted Answer

Now my question is; since every CA has its own public key, and the client is verifying against that CA, and not directly with my public key, how is the link between the CA's public key and my own public key (which is signed with that CA) made? Is this linking function done internally by the CA?

Il certificato emesso dalla CA che contiene la chiave pubblica è firmato con la chiave pubblica delle CA emittenti. Quando si presenta questo certificato al client, è necessario verificare che la firma della CA sia valida e provenga da una CA valida (tra le altre cose).

Se la CA è una CA intermedia, a sua volta il certificato che contiene la sua chiave pubblica è firmato da una CA più in alto nella catena, continuando nello stesso modo fino a quando viene raggiunta una CA radice. Quando un client convalida il certificato, a sua volta convalida tutte le CA intermedie fino a una CA radice.

Modifica: come indicato da Jenny D, la CA di emissione restituirà la catena alla CA radice se si tratta di una CA intermedia. Puoi vedere questa catena (ad esempio in Safari) quando controlli un certificato per un sito web (in questo caso per google). (Google Internet Authority G2 è la CA di emissione e GeoTrust Global CA è la CA radice).