Semplificazione di SMIME riutilizzando la chiave pubblica e privata attraverso gli account di posta elettronica

1

Ho bisogno di semplificare (a costo delle funzionalità di sicurezza) una distribuzione SMIME.

Come posso generare un CSR che riutilizza la stessa chiave pubblica e privata per più di un indirizzo email?

In altre parole, ho N indirizzi email e voglio generare N CSR (e certificati risultanti); tuttavia la crittografia sarà la stessa. (chiave pubblica e privata). Dal momento che sto usando un nome soggetto diverso, suppongo che SerialNumber / Thumbprint / Hash sia diverso tra le chiavi, e questo è OK per il software client.

Intendo utilizzarlo per gli usi delle chiavi di firma e crittografia, quindi preferibilmente l'utilizzo della chiave CSR includerà entrambi gli usi (e supponiamo che il server approverà tale richiesta)

    
posta random65537 06.07.2014 - 20:54
fonte

3 risposte

1

Come generare una CSR utilizzando una coppia di chiavi esistente dipende in gran parte dal software che si sta utilizzando. Tuttavia, tecnicamente non c'è motivo per cui non dovrebbe funzionare. Posso chiederti perché vuoi riutilizzare la stessa coppia di chiavi per tutti i certificati?

Con openssl puoi specificare quale chiave privata usare per generare una chiave privata e utilizzare la stessa chiave privata per tutte le richieste CSR, quindi tutte le richieste utilizzeranno la stessa coppia di chiavi.

openssl req -new -key privkey.pem

Potrebbe anche darsi che la CA non permetta il riutilizzo dei keypair. Ad esempio, EJBCA ha l'opzione "Applica chiavi pubbliche univoche" che consente di riutilizzare una sola chiave per la stessa persona.

Se si incontrano problemi nel riutilizzo di una chiave privata per diversi certificati dipende da come si utilizzeranno i certificati. La maggior parte (se non tutti) i client S / MIME cercano la chiave privata per decifrare usando la coppia emittente / numero seriale. In altre parole, anche se le chiavi private dei certificati sono uguali, non è possibile decodificare l'e-mail con Outlook, ad esempio, se si utilizza il certificato di qualcun altro (in linea di principio dovrebbe essere possibile poiché la chiave privata è la stessa, ma dal il numero di serie è diverso, Outlook non troverà il certificato corretto.

Per quanto riguarda la sicurezza, potrebbe non essere la decisione migliore per riutilizzare la chiave privata (se un certificato deve essere revocato, è necessario revocarlo tutti). Se funzionerà o meno, dipende dal tuo caso d'uso.

    
risposta data 06.07.2014 - 22:00
fonte
0

Non puoi farlo come criptazione della chiave privata poiché la coppia di chiavi generata utilizza l'input (che varia). Avresti bisogno di un algoritmo (logramitico?) Che produca sempre lo stesso output, qualcosa che non tiene conto dell'input.

Perdi la cosa che stai cercando di realizzare, "firmare" o la capacità di fornire non ripudio.

Perché mai sarebbe tutto ok? Penso che quello che stai dicendo è che vuoi sembrare sicuro, ma in realtà le chiavi non contano.

    
risposta data 07.07.2014 - 01:34
fonte
0

Non puoi farlo come criptazione della chiave privata poiché la coppia di chiavi generata utilizza l'input (che varia). Avresti bisogno di un algoritmo (logramitico?) Che produca sempre lo stesso output, qualcosa che non tiene conto dell'input.

Perdi la cosa che stai cercando di realizzare, "firmare" o la capacità di fornire non ripudio.

Perché mai sarebbe tutto ok? Penso che quello che stai dicendo è che vuoi sembrare sicuro, ma in realtà le chiavi non contano.

Modifica

O stai chiedendo come sfruttarlo, hm? 2.4.1 link

    
risposta data 07.07.2014 - 03:10
fonte

Leggi altre domande sui tag