Come rilevare l'autenticità del certificato client e server?

Naviga le tue risposte
0

Come è possibile rilevare l'autenticità del certificato client e server .

Ad esempio, se il server A ha certificato e qualcuno C ha rubato il suo certificato e mandalo a B allora Come decidiamo che è inviato da A o qualcun altro?

La stessa domanda per l'autenticità del certificato del cliente.

So che la chiave privata appartiene solo al proprietario corretto, ma è ancora presente un modo per identificare il mittente del certificato?

    
posta Johan Gelp 01.12.2013 - 11:41
fonte

2 risposte

0

Devi fidarti di qualcuno. I certificati che ti vengono presentati sono controllati dal tuo software di verifica:

  1. Il certificato root upstream è presente nel tuo trust store? (Ad esempio, ti fidi di qualcuno che ti sta dicendo che si fida del certificato di A?)
  2. Il software di verifica controlla anche la Lista di revoche dei certificati (CRL) o utilizza Online Certificate Status Protocol (OCSP) per vedere se il certificato è stato revocato prima della sua data di scadenza.
  3. La verifica include anche altri controlli che vanno oltre la portata della tua domanda.

Per rispondere alla tua domanda in un modo diverso (usando lo scenario di esempio):

  1. Dovrebbe essere very difficile da sottrarre la chiave privata per il certificato A del server. Per le firme digitali, (il focus della mia azienda), le chiavi private sono solitamente archiviate in un apposito hardware dedicato che include interruttori anti-manomissione. Se qualcuno apre la scatola, tutto viene cancellato.
  2. Se qualcuno riesce davvero a rubare la chiave privata di A, allora sì, può mascherarsi come A finché qualcuno non scopre il furto e ha il sistema CRL / OCSP aggiornato o fino alla scadenza del certificato di A.

Sono esattamente le ragioni per le quali chiedi che i certificati di firma digitale per le persone dovrebbero essere strettamente controllati. Deve essere usato un dispositivo di creazione di firma sicura.

[Divulgazione: lavoro per CoSign]

    
risposta data 02.12.2013 - 08:06
fonte
0

Ci sono due modi per rilevare se il mittente è il legittimo proprietario del certificato (che assumiamo sia l'unica persona che ha le chiavi private corrette).

  1. Cripta qualcosa con la chiave pubblica e chiedi al proprietario di restituirti il testo in chiaro. Se può decodificare correttamente il testo cifrato, significa che ha la chiave privata.

  2. Chiedi al proprietario di firmare un testo in chiaro da te fornito. Quindi "decripta" la firma digitale con le sue chiavi pubbliche, se corrisponde al tuo testo in chiaro, allora possiamo essere sicuri che anche lui ha la chiave privata.

risposta data 12.12.2013 - 15:43
fonte

Leggi altre domande sui tag

L'ordine di crittografia e hashing è importante? [duplicare] Read-Only USB thumb come autenticazione di autenticazione di boot Linux [chiusa]