saipr Jun 7 2018 at 11:02

Инфраструктура открытых ключей (продолжение): удостоверяющий центр на базе утилиты OpenSSL и SQLite3

11 min

12K

IT Infrastructure*Open source*SQLite*Information Security*Cryptography*

Comments 15

YourChief Jun 7 2018 at 21:18

А для чего проверяется факт присутствия открытого ключа в БД?

saipr Jun 7 2018 at 21:35

Не совсем понял о каком открытом ключе в БД идет речь. Все открытые ключи "хранятся" в сертификатах. Собственно открытые ключи используются для прямого доступа (CKAID) к запросам на сертификат, к сертификатам. Подскажите о чем идет речь.

YourChief Jun 7 2018 at 22:03

Я говорю вот про этот скриншот:

saipr Jun 7 2018 at 22:15

Теперь все ясно. Здесь речь идет (и это не догма, а просто мое мнение и не более того), чтобы каждый сертификат/запрос имел уникальный ключ. Это позволяет избегать многих недоразумений. И эта проверка легко отключается.

YourChief Jun 7 2018 at 22:39

Я вот как раз и хотел спросить, как реализовано сопоставление публичных ключей. Как минимум для RSA это задача не совсем тривиальная.

saipr Jun 7 2018 at 22:54

Я только чтосегодня вернулся, поэтому может до меня не все сразу доходит: в чем нетравиальность задачи для RSA?

YourChief Jun 7 2018 at 23:01

В том, что можно сделать как минимум два с виду разных открытых ключа для одного закрытого и наоборот — два закрытых для одного открытого. Достаточно для этого добавить λ(n) к экспоненте.

saipr Jun 7 2018 at 23:22

Я думаю решение этой задачи для RSA можно найти в проекте XCA, рассмотрев функцию findUniqueID(CKO_PUBLIC_KEY). Функция находится в файле pkcs11.cpp.

Taraflex Jun 8 2018 at 20:14

Мнение диванного эксперта.
Если решили обходится спартанским интерфейсом, то стоило сразу делать на чем то в стиле ncurses, чтобы по ssh в консоли работало.

sim53 Jun 8 2018 at 21:43

А чем плох спартанский интерфейс? Все просто, ясно и понятно.

Taraflex Jun 8 2018 at 22:46

Если захочется на сервере поднять и с внешки подключиться для управления. Но автор уже прояснил этот момент выше.

saipr Jun 18 2018 at 16:33

С победными реляциями я поторопился по поводу openssl и gost-engine. К сожалению выпустить квалифицированный сертификат с этой версией openssl и gost-engine не удастся, не хватает обрабтки требуемых oid-ов:

Error Loading extension section cert_ext
140436202112768:error:22097081:X509 V3 routines:do_ext_nconf:unknown extension:crypto/x509v3/v3_conf.c:82:
140436202112768:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:crypto/x509v3/v3_conf.c:47:name=issuerSignTool, value=@issuer_sign_tool_section

Надо дорабатывать!