Condivisione del certificato di chiave pubblica

Naviga le tue risposte
0

Sto lavorando a un software in Visual Studio. Ho creato un archivio PKCS # 12 in Visual Studio per firmare con forza i miei assiemi. Ho quindi estratto la chiave pubblica dall'archivio utilizzando OpenSSL.

Mi rendo conto che devo rimuovere l'archivio PKCS # 12 dalla soluzione VS prima di renderlo pubblicamente disponibile, ma cosa devo fare con la chiave pubblica?

Devo accorparlo con la mia soluzione o renderlo disponibile per il download online in cui è ospitata la mia soluzione?

In che modo un utente verifica i miei assiemi con la chiave pubblica?

Se rimuovo l'archivio dalla soluzione, Visual Studio si lamenterà perché è ancora configurato per firmare con sicurezza la soluzione. Una terza parte che ha ottenuto il codice sorgente riceverà tale errore quando tenterà di compilarlo con tutte le modifiche che ha apportato. Devo aspettarmi che inseriscano la propria chiave o la disabilitino?

    
posta user651351 12.12.2016 - 18:54
fonte

1 risposta

1

Se usi le chiavi pubbliche e private per firmare, stai utilizzando ciò che viene chiamato crittografia a chiave pubblica .

La chiave privata è tua. Fare attenzione a non lasciarlo mai trapelare. La chiave pubblica è, come il suo nome, pubblica. Questo è ciò che distribuisci in modo che altre persone possano verificare se qualcosa (un codice, un documento, (...)) è firmato da te.

L'algoritmo della firma prende i dati e la tua chiave privata per generare i dati firmati.

L'algoritmo di verifica prende i dati firmati e la tua chiave pubblica per verificare se è stato tu che ha firmato.

Per verificare i tuoi dati firmati, l'utente avrà bisogno della chiave pubblica.

La firma stessa conterrà la chiave pubblica. E l'algoritmo di verifica può verificare l'integrità dei contenuti.

Ma non l'identità del firmatario.

Per risolvere questo problema puoi distribuire la tua chiave pubblica utilizzando un certificato a chiave pubblica . Incapsulerà la tua chiave nella struttura X.509 con molte informazioni su di te e altre come la revoca e < a href="https://en.wikipedia.org/wiki/Certificate_authority"> Autorità di certificazione (CA). Questo stabilirà una relazione tra la chiave pubblica e le tue informazioni personali.

L'autorità di certificazione può dire se un certificato è valido o meno.

Quindi dovrai ottenere il certificato, generato da qualsiasi strumento, in una CA. Whey metterà il tuo certificato nella catena di fiducia, quindi convalida il tuo certificato. articolo sulla catena di fiducia

Quindi spedirai la tua biblioteca firmata al mondo. La firma stessa conterrà tutto ciò di cui il verificatore dovrà verificare la firma.

Se il tuo certificato non ha una CA, solo le persone che hanno la tua chiave pubblica accetteranno la firma come valida.

    
risposta data 12.12.2016 - 20:10
fonte

Leggi altre domande sui tag

Salva elemento attivo in un array Perché utilizzare Grunt per i file relativi a JavaScript invece di affidarsi a MSBuild?