¿Por qué los certificados X.509 tienen el atributo "Uso clave"?

8

Puedo encontrar sus valores y todos los detalles en el RFC, pero no puedo encontrar por qué se decidió tener este atributo en los certificados, en lugar de dejarlos para múltiples propósitos.

¿Hay un razonamiento detrás de esta elección (longitud de la clave?) o está estrictamente relacionado con el negocio, ya que tienen un precio muy diferente?

    
pregunta Philippe 20.02.2013 - 15:09
fuente

1 respuesta

9

Estrictamente hablando, una clave no debería ser "multipropósito". Los usos clave específicos requieren un vida clave ciclos . La extensión Key Usage es un formalismo de este hecho.

Por ejemplo, las claves que se utilizan para las firmas y la autenticación podrían perderse con consecuencias relativamente bajas: si se destruye su tarjeta inteligente, ya no podrá firmar, pero no se perderán datos; solo debe recibir una nueva tarjeta inteligente (esto es inconveniente, pero no se produjo una violación de la seguridad). Pero no desea que la gente comience a cifrar los datos con esa clave pública de firma exclusiva, porque en ese caso debe hacer copias de seguridad de la clave para evitar la pérdida de datos al perder la clave: la tarjeta inteligente se opondrá firmemente a las copias de seguridad. por construcción. La extensión Key Usage documenta la idea de que una clave de firma debe usarse para firmas solo porque no se realizará una copia de seguridad. A la inversa, una clave de cifrado se guardará normalmente en algún lugar y, por lo tanto, usted no quiere que las personas la consideren vinculante si se usa para firmas: esto permitiría a quien tenga acceso al sistema de custodia / respaldo firma "en tu nombre". Una vez más, la extensión Key Usage protege contra eso.

    
respondido por el Thomas Pornin 20.02.2013 - 15:30
fuente

Lea otras preguntas en las etiquetas