Técnicamente hablando, puede firmar lo que quiera con su tarjeta eID. Cualquier persona con su certificado podrá validar la firma con su clave pública y validar la ruta del certificado (suponiendo que el verificador considere que la CA de Citizen Root considera un Ancla de confianza ).
Sin embargo, firmar otro certificado con su eID no es una buena práctica por varias razones.
En primer lugar, no respeta el estándar X.509. Quiero decir que si firma un certificado con su clave eID, la validación de este certificado será rechazada por cualquier validador X.509. Veo al menos dos razones:
- el Certificado de CA de Citizen contiene una extensión (denominada Restricciones básicas ) que especificó explícitamente que solo puede emitir el certificado de Usuario final , es decir, certificados que no están autorizados a firmar otro certificado
- el eID citizen Signature Certificate contiene una extensión (denominada Key Usage ) que indica explícitamente que el propósito de la firma del certificado está prohibido.
Además, estas restricciones en los certificados solo reflejan las reglas de emisión de certificados que se denominan política de certificación . La política de certificación es un documento que indica cómo la Autoridad de Certificación emite los certificados (por ejemplo, cómo se verifica la identidad del titular del certificado, qué información se incluye en el certificado, los usos aceptables y prohibidos del certificado). ..).
La política de certificación eID está disponible aquí: enlace
La sección 4.5.1 deberes del ciudadano dice:
Solo se utilizan certificados para fines legales y autorizados de acuerdo con el CPS.
Significa que incluso si una firma es técnicamente válida, el valor de esta firma está subordinado a un uso autorizado de su certificado de acuerdo con la política. En otro término, es técnicamente factible firmar un certificado con su tarjeta de identificación electrónica pero, como este uso no está autorizado por la política, este certificado no tiene ningún valor en el contexto de la CA de Citizen.
Pero tenga en cuenta que, al crear una nueva clave pública, ¿no utiliza directamente su certificado de firma de ciudadano eID ?