messaggio di verifica certificato Diffie-Hellman

Naviga le tue risposte
2

Sulla RFC 6101 , su " Verifica certificato ", ho letto che:

"This message is used to provide explicit verification of a client certificate. This message is only sent following any client certificate that has signing capability (i.e., all certificates except those containing fixed Diffie-Hellman parameters)."

Perché Fix Diffie-Hellman non ha bisogno di questo messaggio, se sta usando un certificato?

    
posta MoreOver 19.06.2014 - 20:18
fonte

1 risposta

2

I certificati Diffie-Hellman sono certificati che contengono una chiave pubblica Diffie-Hellman (tali animali sono estremamente rari, nessuno lo fa in pratica). Tali certificati possono funzionare per l'autenticazione del client solo se:

  • il certificato del server anche è un certificato DH;
  • entrambe le coppie di chiavi DH utilizzano gli stessi parametri (funzionano nello stesso gruppo);
  • e viene utilizzata una suite di crittografia statica DH (non DHE).

In tale situazione, il server mostra la sua chiave pubblica DH come parte del suo messaggio Certificate , il client mostra la sua chiave pubblica DH come parte del proprio messaggio Certificate , e entrambe le coppie di chiavi DH vengono utilizzate per scambio di chiavi effettivo (ovvero, il client utilizza la sua chiave privata e la chiave pubblica dal server, e il server utilizza la sua chiave privata e la chiave pubblica dal client). Client e server sono reciprocamente autenticati in virtù del client (rispettivamente del server) utilizzando la chiave pubblica DH del server (rispettivamente il client) come trovata in un certificato debitamente firmato da una CA attendibile.

Concettualmente, la firma della CA è sufficiente, motivo per cui non è necessario un messaggio Certificate Verify effettivo (o, per altro, un messaggio Server Key Exchange ). In realtà, possiamo considerare che quando viene utilizzata una suite di crittografia DHE ( effimero DH), sia il client che il server svolgono il ruolo di una CA subordinata, con i "certificati" risultanti come Certificate Verify e Server Key Exchange messaggi ...

I certificati Diffie-Hellman (e le firme DSA) sono stati promossi dal governo federale degli Stati Uniti alla fine del 20 ° secolo perché l'RSA era stato brevettato in quel momento. Ma lo standard DH (ANSI X9.42) non è mai stato liberamente disponibile, quindi il software open source non è stato seguito e il supporto DH nei sistemi distribuiti è scadente. Ecco perché i certificati DH sono una rarità. Un pezzo da museo, anche.

    
risposta data 19.06.2014 - 21:39
fonte

Leggi altre domande sui tag

Esiste un sito Web o un'altra risorsa che elenca i sistemi operativi / piattaforme e i certificati radice inclusi? La richiesta di credenziali da un dominio fidato separato è una pratica accettabile?