In Belgio abbiamo le carte d'identità elettroniche (eID) emesse dal nostro governo. Possono essere letti da un lettore di smart card. Sulla carta ci sono due certificati, uno per la firma e uno per l'autenticazione.
Voglio distribuire la mia chiave pubblica. Posso usare la mia eID per firmare il mio certificato in modo da far sapere agli utenti che è veramente la mia chiave pubblica? Sarà un modo sicuro e accettato?
Grazie per i tuoi pensieri e aiuto.
Il tuo eID utilizza un certificato X509 firmato da un CA controllato dal tuo governo. Quella CA è la radice della tua catena di fiducia . Ciò significa che sono loro a garantire che hanno rilasciato quel certificato a te come individuo.
La firma della propria chiave pubblica non fornisce alcuna informazione aggiuntiva poiché si trova nella stessa catena di fiducia.
Può anche essere pericoloso: ad esempio, se si genera una chiave PGP e si firma la chiave pubblica con il proprio certificato personale, non si riesce a dimostrare di avere accesso alla parte privata della stessa chiave. Tutto ciò dimostra che, ad un certo punto, tu (e tu solo) hai affermato di possedere la chiave privata corrispondente. È approssimativamente simile alla firma di una fotocopia di un passaporto: non dice al destinatario che il documento è un originale o che ne hai accesso, solo che hai affermato di averlo e, senza una terza parte attendibile che lo autentica reclamare in un modo diverso, è inutile.
Tecnicamente parlando puoi firmare quello che vuoi con la tua carta eID. Chiunque abbia il tuo certificato sarà in grado di convalidare la firma con la tua chiave pubblica e convalidare il percorso del certificato (assumendo che il verificatore consideri la CA Citizen Root come un Trust Anem valido).
Tuttavia firmare un altro certificato con la tua eID non è una buona pratica per diversi motivi.
Prima di tutto, non rispetta lo standard X.509. Intendo dire che se si firma un certificato con la propria chiave eID, la convalida di questo certificato sarà respinta da qualsiasi validatore X.509 conforme. Vedo almeno due ragioni:
Inoltre, queste restrizioni sui certificati riflettono solo le regole di rilascio dei certificati che sono chiamate norme di certificazione . Il criterio di certificazione è un documento che indica in che modo l'autorità di certificazione rilascia i certificati (ad esempio come viene verificata l'identità del titolare del certificato, quali informazioni sono incluse nel certificato, gli usi accettabili e vietati del certificato. ..).
La politica di certificazione eID è disponibile qui: link
La sezione 4.5.1 Diritti dei cittadini dice:
Only using certificates for legal and authorised purposes in accordance with the CPS.
Significa che anche se una firma è tecnicamente valida, il valore di questa firma è subordinato a un utilizzo autorizzato del certificato in base alla politica. In altri termini è tecnicamente possibile firmare un certificato con la tua carta eID ma, poiché questo utilizzo non è autorizzato dalla politica, questo certificato non ha valore nel contesto CA Citizen.
Ma tieni conto dell'instaurarsi della creazione di una nuova chiave pubblica che non usi direttamente eID citizen Signature Certificate ?
?Leggi altre domande sui tag key-management certificates smartcard