¿Tiene un certificado de usuario final (o CA) alguna "huella digital" para indicar la marca de PKI que se está utilizando?

3

Como parte de mi análisis forense, quiero determinar si un certificado dado tiene algún indicador de qué software PKI se usó para crearlo.

Hasta ahora, veo diferencias en las siguientes propiedades para una autoridad de certificación:

  • Número de serie (formato, longitud, es (no) aleatorio)
  • Valor del emisor (puede coincidir con el nombre interno del bosque de AD en MSFT)
  • Presencia de "Información de plantilla de certificado" (MSFT)
  • El punto de distribución de CRL contiene un nombre de servidor
  • El sujeto contiene "DC=" (MSFT) frente a otras propiedades como O , C presente en Google.com

Estoy seguro de que existen diferencias comparables entre los certificados de entidad final y los certificados Dif CRL / CRL.

Pregunta

  • ¿Hay algún recurso que investigue las diferencias entre la salida del certificado de varias CA (o makecert.exe)?

  • ¿Hay alguna huella digital de nivel de byte dentro de un certificado? (¿O todo está expuesto a través de un certificado de exportación?

pregunta random65537 04.01.2017 - 23:53
fuente

1 respuesta

2

No es una respuesta directa, pero tal vez apunta en la dirección correcta

Linters de certificados

Esto podría ser interesante para detectar anomalías: existe el certlint de Peter Bowen (escrito en Ruby) y el x509lint de Kurt Roeckx. Ambos están integrados en crt.sh. Aquí hay algunos ejemplos con anomalías interesantes: cert para * .gmaptiles.co.kr y example.com

También hay otro certlint: certlint de GlobalSign (escrito en Go) . No he intentado eso.

Identificación del generador Pubkey

También: hay algunas investigaciones sobre cómo detectar la biblioteca utilizada para generar claves de acceso RSA: de Usenix Sec 2016: La pregunta del millón de claves: investigar los orígenes de las claves públicas de RSA (Archivado aquí .)

    
respondido por el StackzOfZtuff 05.01.2017 - 09:50
fuente