Criptare un messaggio o firmarlo con un certificato X509

2

Ho due domande simili sull'uso dei certificati.

  1. Leggevo di un'autorità di certificazione in un sistema e ho scoperto che la CA utilizza la PKI aderente allo standard X509 per l'infrastruttura a chiave pubblica per firmare un messaggio. Citerò ciò che la CA ha detto:

Digital certificates are used to establish authenticity of user credentials and to digitally sign messages. Signing messages with a certificate ensures that the message has not been altered.

Fonte: link

So che X509 è un formato certificat contenente la chiave pubblica, quindi è possibile firmare con un contratto?

  1. Mentre stavo cercando su Internet una risposta alla prima domanda, ho scoperto che è possibile Criptare un messaggio usando un certificato X509:

link

Sono confuso da crittografare, abbiamo bisogno di una chiave privata. La chiave è all'interno del certificato?

    
posta Sig Touri 10.01.2017 - 18:41
fonte

1 risposta

2

Mancano alcune conoscenze concettuali di base su come funzionano certificati digitali, firme e PKI. Lavoro quotidianamente con questi concetti come qualcuno che lavora nel settore della sicurezza IT, quindi lasciatemi spiegare.

Le firme digitali sono utilizzate per proteggere il principio di integrità dell'informazione (I nella triade della CIA) insieme al relativo principio di non ripudio. Integrità delle informazioni significa:

Data is not maliciously modified / destroyed / corrupted while either at rest or in transit

Il relativo principio di non ripudio assicura che se il principio di integrità è stato violato, la parte responsabile non può negare di aver manomesso i dati.

PKI è un metodo asimmetrico di firma / crittografia dei dati, il che significa che 2 chiavi sono necessarie per completare l'operazione :

  1. Chiave privata nota solo a una delle parti nella transazione
  2. Chiave pubblica di ciascuna parte nella transazione che è disponibile gratuitamente

Signing a Message

Quando si firma un messaggio, il digest del messaggio del corpo del messaggio viene prima generato eseguendo il messaggio attraverso un algoritmo di hashing come SHA2. La chiave privata del mittente viene quindi utilizzata per crittografare il digest del messaggio trasmesso. La chiave pubblica del mittente viene spesso aggiunta al corpo del messaggio. Alla ricezione del messaggio, il destinatario decrittografa il digest del messaggio utilizzando la chiave pubblica liberamente disponibile del mittente. Confrontando il digest del messaggio decrittografato con un hash calcolato separatamente del messaggio originale, l'integrità e il non ripudio possono essere garantiti se i due hash risultanti sono uguali.

Il non ripudio è assicurato tramite il ruolo dell'autorità di certificazione (CA). Il ruolo di questa parte è di attestare l'identità di ciascuna parte nella transazione (mittente e destinatario) vincolando la chiave pubblica di ciascuna parte a un documento noto come certificato che contiene informazioni come il dominio di origine e il metodo utilizzato per generare le chiavi.

Encrypting a Message

Lo scopo della crittografia di un messaggio è di garantire C e I in CIA - Riservatezza e integrità. La crittografia (es .: via TLS) garantisce che i dati in transito solo non possano essere intercettati da terze parti malintenzionate. I dati sono crittografati con la chiave pubblica del destinatario in modo che solo la chiave privata corrispondente del destinatario possa decodificare il messaggio.

Per rispondere alla tua domanda, la chiave privata è nota solo al destinatario e NON è presente nel certificato

    
risposta data 11.01.2017 - 04:31
fonte