Como parte de mi análisis forense, quiero determinar si un certificado dado tiene algún indicador de qué software PKI se usó para crearlo.
Hasta ahora, veo diferencias en las siguientes propiedades para una autoridad de certificación:
- Número de serie (formato, longitud, es (no) aleatorio)
- Valor del emisor (puede coincidir con el nombre interno del bosque de AD en MSFT)
- Presencia de "Información de plantilla de certificado" (MSFT)
- El punto de distribución de CRL contiene un nombre de servidor
- El sujeto contiene "DC=" (MSFT) frente a otras propiedades como
O,Cpresente en Google.com
Estoy seguro de que existen diferencias comparables entre los certificados de entidad final y los certificados Dif CRL / CRL.
Pregunta
-
¿Hay algún recurso que investigue las diferencias entre la salida del certificado de varias CA (o makecert.exe)?
-
¿Hay alguna huella digital de nivel de byte dentro de un certificado? (¿O todo está expuesto a través de un certificado de exportación?