¿Firmar mi certificado utilizando mi tarjeta inteligente y mi tarjeta de identificación electrónica?

6

En Bélgica tenemos tarjetas de identidad electrónicas (eID) emitidas por nuestro gobierno. Se pueden leer con un lector de tarjetas inteligentes. En la tarjeta hay dos certificados, uno para firmar y otro para autenticación.

Quiero distribuir mi clave pública. ¿Puedo usar mi eID para firmar mi certificado para que los usuarios sepan que realmente es mi clave pública? ¿Será esta una forma segura y aceptada?

Gracias por tus pensamientos y ayuda.

    
pregunta Joachim Jacob 25.02.2014 - 11:02
fuente

2 respuestas

3

Su eID utiliza un certificado X509 firmado por un CA controlado por su gobierno. Esa CA es la raíz de su cadena de confianza . Esto significa que son los que garantizan que emitieron ese certificado para usted como individuo.

Firmar su propia clave pública no proporcionaría ninguna información adicional, ya que está en la misma cadena de confianza.

Incluso puede ser peligroso: por ejemplo, si genera una clave PGP y firma la clave pública con su certificado personal, no puede demostrar que tiene acceso a la parte privada de la misma clave. Todo lo que prueba es que, en algún momento, usted (y solo usted) afirmó ser el propietario de la clave privada correspondiente. Es más o menos similar a firmar una fotocopia de un pasaporte: no le dice al destinatario que el documento es un original o que tiene acceso a él, solo que reclamó tenerlo y, sin que un tercero de confianza lo autentique Afirmar de una manera diferente, es inútil.

    
respondido por el Stephane 25.02.2014 - 12:08
fuente
1

Técnicamente hablando, puede firmar lo que quiera con su tarjeta eID. Cualquier persona con su certificado podrá validar la firma con su clave pública y validar la ruta del certificado (suponiendo que el verificador considere que la CA de Citizen Root considera un Ancla de confianza ).

Sin embargo, firmar otro certificado con su eID no es una buena práctica por varias razones.

En primer lugar, no respeta el estándar X.509. Quiero decir que si firma un certificado con su clave eID, la validación de este certificado será rechazada por cualquier validador X.509. Veo al menos dos razones:

  • el Certificado de CA de Citizen contiene una extensión (denominada Restricciones básicas ) que especificó explícitamente que solo puede emitir el certificado de Usuario final , es decir, certificados que no están autorizados a firmar otro certificado
  • el eID citizen Signature Certificate contiene una extensión (denominada Key Usage ) que indica explícitamente que el propósito de la firma del certificado está prohibido.

Además, estas restricciones en los certificados solo reflejan las reglas de emisión de certificados que se denominan política de certificación . La política de certificación es un documento que indica cómo la Autoridad de Certificación emite los certificados (por ejemplo, cómo se verifica la identidad del titular del certificado, qué información se incluye en el certificado, los usos aceptables y prohibidos del certificado). ..).

La política de certificación eID está disponible aquí: enlace

La sección 4.5.1 deberes del ciudadano dice:

  

Solo se utilizan certificados para fines legales y autorizados de acuerdo con el CPS.

Significa que incluso si una firma es técnicamente válida, el valor de esta firma está subordinado a un uso autorizado de su certificado de acuerdo con la política. En otro término, es técnicamente factible firmar un certificado con su tarjeta de identificación electrónica pero, como este uso no está autorizado por la política, este certificado no tiene ningún valor en el contexto de la CA de Citizen.

Pero tenga en cuenta que, al crear una nueva clave pública, ¿no utiliza directamente su certificado de firma de ciudadano eID ?

    
respondido por el Jcs 26.02.2014 - 11:27
fuente

Lea otras preguntas en las etiquetas