¿Cómo detectar la autenticidad del certificado de cliente y servidor?

Navega tus respuestas
0

Cómo es posible detectar autenticidad del certificado de cliente y servidor .

Por ejemplo, si el servidor A tiene un certificado y alguien C robó su certificado y envíelo a B y, a continuación, ¿cómo decidimos que sea enviado por A o por alguien más?

La misma pregunta para la autenticidad del certificado de cliente.

Sé que la clave privada es solo del propietario correcto, pero aún está ahí ¿Alguna forma de identificar al remitente del certificado?

    
pregunta Johan Gelp 01.12.2013 - 11:41
fuente

2 respuestas

0

Necesitas confiar en alguien. Los certificados que se le presentan son verificados por su software de verificación:

  1. ¿Está el certificado raíz ascendente del certificado en su almacén de confianza? (Es decir, ¿confías en alguien que te está diciendo que confía en el certificado de A?)
  2. El software de verificación también verifica la Lista de revocación de certificados (CRL) o usa Protocolo de estado de certificado en línea (OCSP) para ver si el certificado fue revocado antes de su fecha de vencimiento.
  3. La verificación también incluye otras comprobaciones que están fuera del alcance de su pregunta.

Para responder a su pregunta de una manera diferente (utilizando su escenario de ejemplo):

  1. Debería ser muy difícil robar la clave privada para el certificado A del servidor. Para las firmas digitales, (el enfoque de mi empresa), las claves privadas generalmente se almacenan en un dispositivo de hardware dedicado que incluye interruptores antisabotaje. Si alguien abre la caja, todo se borra.
  2. Si alguien logra robar la clave privada de A, entonces sí, puede hacerse pasar por A hasta que alguien descubra el robo y tenga el sistema CRL / OCSP actualizado o hasta que el certificado de A expire.

Es exactamente por las razones por las que pregunta acerca de que los certificados de firma digital para personas deben controlarse estrictamente. Se debe utilizar un dispositivo de creación de firma segura.

[Divulgación: trabajo para CoSign]

    
respondido por el Larry K 02.12.2013 - 08:06
fuente
0

Hay dos formas de detectar si el remitente es el propietario legítimo del certificado (que asumimos que es la única persona que tiene las claves privadas correctas).

  1. Encripta algo con la clave pública y haz que el propietario te devuelva el texto sin formato. Si puede descifrar correctamente el texto cifrado, eso significa que tiene la clave privada.

  2. Haga que el propietario firme algún texto simple proporcionado por usted. Luego "descifre" la firma digital con sus claves públicas, si coincide con su texto simple, podemos estar seguros de que también tiene la clave privada.

respondido por el jingyang 12.12.2013 - 15:43
fuente

Lea otras preguntas en las etiquetas

¿Cómo ser completamente anónimo en línea? ¿Cómo verifica IE o Chrome el certificado? [duplicar]