Ho una riga di comando per firmare un eseguibile utilizzando signtool di Microsoft e un modo per identificare il mio certificato è con un'identificazione personale di sha1. Il comando ha il seguente aspetto:
signtool sign [...] /sha1 <sha1_thumbprint> [...] file.exe
La mia domanda è: l'identificazione personale è considerata privata? Posso eseguire il commit della riga di comando su un repository, o è meglio evitare di farlo?
No, l'identificazione personale non è considerata privata. Questo perché l'identificazione digitale è il risultato della funzione di hashing unidirezionale (SHA1 o altro).
Per definizione, le funzioni di hashing accettano i messaggi di lunghezza variabile come input e producono output a lunghezza fissa. La lunghezza dell'output dipende dalla funzione di hashing effettiva. Di conseguenza, è impossibile recuperare il messaggio di input conoscendo solo il suo hash (identificazione personale). Pertanto, puoi pubblicare il valore dell'identificazione del pollice in pubblico, se necessario, senza preoccuparti che qualcuno possa recuperare il messaggio di input che ha prodotto l'identificazione personale specificata.
Leggi altre domande sui tag certificates