RelativeDistinguishedName permitió elementos SET

Question

RelativeDistinguishedName permitió elementos SET

#1 de bartonjs (1 votos)

1

Según RFC5280, un Nombre de sujeto / emisor es una secuencia de RelativeDistinguishedName, que a su vez en un conjunto de AttributeTypeAndValue (consulte enlace ).

No hay duda de que (notación RFC2253) estos nombres son válidos:

RDN de valor único, repitiendo el OID de tipo: CN = A, CN = B

RDN multivalor con OID de tipo separado: CN = A + OU = B

Pero es mi interpretación correcta, que (notación RFC2253) estos nombres también serían válidos:

RDN de valores múltiples con OID de tipo repetido: CN = A + CN = B

Pero este no sería:

RDN multivalor con repetidos (tipo OID y valor): CN = A + CN = A

Mi suposición inicial habría sido que dentro de cualquier RDN, cada tipo de OID puede ocurrir a lo sumo (dándole una sintaxis de diccionario), y recuerdo haber leído eso en algún lugar, pero no puedo encontrar la referencia nuevamente. De la sintaxis pura, parece que "CN = A + CN = B" parece estar permitido.

certificates x.509

pregunta itecMemory 24.08.2018 - 14:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificates x.509

¿Cómo explotar esta vulnerabilidad de redireccionamiento abierto en el navegador? hashcat fuerza bruta específica

score 1 · Accepted Answer

CN=A+CN=A también es legal. ITU -T X.680 (2015/08) dice, para SET OF (28.3)

NOTA 1 - La importancia semántica no debe colocarse en el orden de estos valores.

NOTA 2 - No se requieren reglas de codificación para preservar el orden de estos valores.

NOTA 3 - El tipo de conjunto no es un conjunto de valores matemáticos , por lo tanto, como ejemplo, para el CONJUNTO DE INTEGER, los valores {1} y {1 1} son distintos.

_{(énfasis mío)}

La nota # 1 dice que CN=A+CN=B es lo mismo que CN=B+CN=A . Dado que los certificados de clave pública X.509 dicen que su codificación utiliza el conjunto de reglas de codificación distinguida (DER), no se encontrará este último, porque DER requiere que el conjunto se clasifique (utilizando reglas de clasificación que no son obvias sin mirar los datos codificados). ).

Sin ninguna declaración calificada en la especificación (que cualquier OID dado no puede tener más de una aparición en el SET OF) no hay nada que impida la redefinición o duplicados. X.509 no tiene ninguna declaración de este tipo.

Pero, para su valor, los RDN de valores múltiples son bastante raros en los certificados de clave pública X.509.