¿Hay ejemplos públicos de un atributo cifrado en un certificado emitido por Verisign?

4

Este Credentica- UProve paper describe cómo Verisign emite (o fue un problema en el pasado) certificados con atributos cifrados :

  

"VeriSign emite certi fi cados que contienen atributos cifrados que pueden   ser desbloqueado solo por veri fi cadores que cumplan con los requisitos necesarios para   recibir la clave de descifrado requerida de un tercero de confianza "

  • ¿Se están utilizando ejemplos públicos de esto?

  • ¿Cuáles son algunos casos de uso que requerirían este atributo?

  • ¿No es razonable suponer que podría incrustar atributos similares en mi propia CA? (MSFT o de otra manera)

pregunta random65537 17.07.2013 - 23:59
fuente

1 respuesta

3

Este comentario parece hablar de una extensión antigua de VeriSign llamada CZAG. Parecía haber sido relativamente común hace una docena de años, pero no estoy seguro de que todavía se use. De hecho, parece que el sistema de cifrado era extremadamente descuidado; este artículo (publicado en Usenix en 2002) describe la extensión, que contiene, y lo que se filtra a través de un uso realmente pobre de la criptografía.

Al buscar la extensión OID (2.16.840.1.113733.1.6.3) en Google se encuentran algunos ejemplos de certificados que contienen esa extensión, por ejemplo. this (esta es una URL de GitHub , No estoy seguro de cuánto tiempo será válido).

Parece que el caso de uso para esta extensión fue del tipo "VeriSign quiere ganar dinero". La promesa comercial fue que los usuarios, con certificados habilitados para CZAG, podrían registrarse en algunos sitios web, extrayendo automáticamente los datos demográficos del usuario ("País, Código Postal, Edad y Género") sin requerir que el usuario ingrese la información por sí mismos. Por alguna razón, en estos días, la gente pensaba que era genial tener sitios web aleatorios que accedieran automáticamente a su información privada sin control. De todos modos, era un sistema de exclusión voluntaria, por lo que se puede suponer que la mayoría de los usuarios simplemente ignoraban estos chanchullos.

La mayoría de las referencias a CZAG que encuentro son anteriores al artículo de 2002, por lo que supongo que esta extensión se eliminó discretamente de los procedimientos de VeriSign una vez que se demostró lo débil que era la ofuscación.

    
respondido por el Thomas Pornin 26.07.2013 - 22:49
fuente

Lea otras preguntas en las etiquetas