Certificati - Che dire di nuovo firmare certificati CA intermedi?

0

Penso a questo problema ed è difficile stimare gli impatti tecnici.

Per qualsiasi motivo rilevante, si desidera modificare uno dei campi x509 di una CA intermedia. Questa CA intermedia è stata firmata dalla CA principale e ha già rilasciato alcuni certificati finali.

Voglio che Root CA firmi di nuovo questo certificato intermedio perché un campo come modificato (anche un campo inutile), quindi il certificato ha prodotto un nuovo hash, quindi una nuova firma viene creata dalla radice. Supponi di sostituire quello vecchio con il nuovo certificato (la sua nuova firma), cosa sta succedendo:

  • Il certificato intermedio è ancora affidabile? Immagino sia come la firma sia valida (anche se "fresca") e possiamo verificarla con il certificato di root.

Inoltre, poiché la chiave pubblica intermedia non è mai stata modificata, i certificati finali sono ancora validi e possiamo verificarlo (con chiave pubblica intermedia).

Quindi, ovviamente, il contenuto del certificato intermedio è cambiato, ma possiamo ancora usarlo poiché è firmato da Root e la sua chiave pubblica è sempre la stessa.

Suppongo che ci siano degli impatti che non ho visto.

    
posta crypto-learner 05.12.2014 - 00:11
fonte

2 risposte

1

La firma verrà eseguita solo dalla chiave, quindi finché la chiave non viene cambiata tutte le firme fatte da questo certificato sono ancora valide. Tuttavia, quando si crea la catena di attendibilità per un certificato, si esaminerà il campo emittente dei certificati e quindi si cercherà un certificato con questo emittente come soggetto. Solo dopo aver trovato un certificato (o più) con questo oggetto previsto, li userà per verificare la firma.

Questo significa che dovresti essere in grado di modificare qualsiasi informazione nel certificato se la chiave pubblica e il soggetto rimangono uguali.

    
risposta data 05.12.2014 - 07:18
fonte
0

Quindi, come fa una CA Intermediuta a cambiare un campo, senza dover riemettere ogni singolo certificato?

Fa una firma incrociata con la sua vecchia chiave

(- segnaposto - piacerebbe vedere una grande risposta su come funziona il cross signing, o lo chiederò chiaramente e chiaramente)

    
risposta data 05.12.2014 - 00:33
fonte