Perché / quando una CA renderebbe pubblica una pubblica chiave generata in generale?

1

Sono confuso su questa sezione del mio esame di sicurezza CEH materiale di formazione:

A CA is able to perform a number of roles in addition to the validation process outlined here. Some actions that a CA is called on to perform include the following:

Generation of the Key Pair - When a CA goes through the process of creating a certificate, a key pair that is made up of a public and private key is generated. The public key is made available to the public at large whereas the private key is given to the party requesting the digital certificate.

Qualcuno può spiegarmi questo e forse includere un esempio pratico? Comprendo che un'autorità di certificazione dovrebbe pubblicare / distribuire le proprie chiavi pubbliche per i certificati radice, ma in quali circostanze vorrei che una CA distribuisse la chiave pubblica per il mio certificato individuale firmato?

    
posta Mike B 30.12.2015 - 02:05
fonte

2 risposte

5

Rigorosamente visualizzato, non è corretto. Non è la CA che genera le chiavi pubbliche e private, ma il richiedente. Non c'è motivo per cui la CA dovrebbe avere accesso alla chiave privata. La chiave privata deve essere privata (anche se è necessario stabilire ogni nuova connessione sicura, quindi deve essere anche on-line).

Non ha senso mantenere la chiave pubblica nascosta. Pubblicando le chiavi pubbliche, le CA possono aumentare il livello di confidenza nel certificato stesso, dando un altro percorso per verificare l'identità. Lo scopo della crittografia a chiave pubblica è che non esiste un modo pratico per calcolare / impersonare la chiave privata con solo la chiave pubblica accessibile.

E, nonostante ciò, le chiavi pubbliche / i certificati non sono pubblicati in tutti i casi - ad esempio, nel caso di certificati client, assegnati per indirizzi e persone di posta elettronica degli utenti, potrebbe persino essere pericoloso pubblicare tutti i certificati emessi.

D'altro canto, la pubblicazione dei certificati server ha il vantaggio che ogni altra entità che esegue server può verificare e confermare che nessun altro ha rilasciato un certificato a qualcun altro per il proprio nome - questo è in realtà un argomento di una recente iniziativa chiamata Certificate Transparency.

Vedi - link

Aggiornamento : Sono d'accordo che la descrizione citata sia piuttosto vaga e alquanto confusa.

Forse il manifesto ha frainteso allo stesso modo, che la CA pubblica qualsiasi chiave pubblica per cui rilascia un certificato. Ma non è quello che riguarda. Quello che sembra dire, che quando CA inizialmente crea il proprio certificato, con le chiavi pubbliche e private, allora condivide quella specifica chiave pubblica iniziale (beh, non davvero, ma l'intero certificato CA) con il mondo "in grande". Questo è l'intero punto di un certificato CA, in modo che chiunque trovi un certificato emesso da questa specifica CA possa verificarlo con una chiave pubblica già disponibile, in modo che nessun terzo possa malintenzionarlo (almeno non facilmente) interferire con.

    
risposta data 30.12.2015 - 02:42
fonte
0

La chiave privata viene utilizzata per decrittografare i messaggi crittografati con la chiave pubblica, quindi chiunque invii un messaggio avrà bisogno di accedere alla chiave pubblica. La chiave pubblica viene anche utilizzata per verificare che tutte le firme da te siano state effettivamente firmate utilizzando la tua chiave privata.

Vedi link .

    
risposta data 30.12.2015 - 07:25
fonte