Комментарии 9
1. Как с точки зрения системы отличаются два контроллера, аутентифицированные по разным ключам/сертификатам — один по постоянному, другой «по пользовательскому»?
2. Почему был выбран период в 200 лет, а не значение «99991231235959Z» из RFC5280?
1. Как с точки зрения системы отличаются два контроллера, аутентифицированные по разным ключам/сертификатам — один по постоянному, другой «по пользовательскому»?
Зависит от системы. Постоянный — подписан через цепочку корневым сертификатом Wiren Board, т.е. можно загрузить его в систему и использовать в качестве идентификатора Common Name из сертификата. Чтобы проверять пользовательский сертификат, в систему надо будет загрузить публичный сертификат ключа, которым был подписан пользовательский сертфикат.
Вообще это два разных подхода к авторизации клиентов на своём сервисе:
- Проверка заводского сертификата по заводскому публичному ключу + белый список CN
- Выдать свой сертификат, проверять его, пускать всех, кто проверяется по своему сертификату
2. Почему был выбран период в 200 лет, а не значение «99991231235959Z» из RFC5280?
Потому что RFC не читали. Спасибо.
Спасибо за статью.
Давно уже задумывал поискать причину, почему на русском языке употребляется слово "аутентификация", а не более близкое к английскому и, вроде, греческому оригиналам "аутентикация". Тут увидел заголовок статьи и вспомнил. Долго не копался, но по тому, что накопал, похоже, что причин нет, просто так сложилось. Например:
Несмотря на то, что с английского языка термин authentication читается как «аутентикация», в русском языке употребляется слово «аутентификация». Причины такой ошибочной транслитерации достоверно не известны, однако термин уже закрепился в руководящих документах Гостехкомиссии России и исправлению не подлежит.
Кому как, мне — нет. Индивидуально или дело привычки. Этот термин, кстати, заимствуется не только в русском языке. На иврите, например, все вокруг говорят "отентикация".
P.S. Почему то же слово, но с дополнительным слогом, должно проговариваться легче?
P.P.S. "Авторизация", кстати, тоже заимствовано — от "authorization". Думаете, будет проще и приятнее говорить "авторифизация"?
Можно где-то почитать про уязвимость Secure boot в CAAM от Nxp? Выбрали платформу на imx6 и планируем использовать фичу :-/
Спасибо огромное! Решаем схожую задачу. Только у нас библиотека mosquitto по-новее — версии 1.6.8. Но, похоже, и она не поддерживает использование секретных ключей из TPM… Буду разбираться с вашими патчами.
И такой вопрос — почему Вы в патчах mosquitto не использовали функцию SSL_CTX_use_cert_and_key(), появившуюся в Openssl 1.1.1?
https://www.openssl.org/docs/man1.1.1
Там в описании сказано, что, дескать, если аргумент *key равен NULL, то OpenSSL будет использовать ключик из TPM и увеличит какой-то свой счётчик ссылок, чтобы обычные функции SSL_CTX_use_PrivateKey ошибку не возвращали.
«If pkey is NULL, then the public key of x is used as the private key. This is intended to be used with hardware (via the ENGINE interface) that stores the private key securely, such that it cannot be accessed by OpenSSL. The reference count of the public key is incremented (twice if there is no private key); it is not copied nor duplicated. This allows all private key validations checks to succeed without an actual private key being assigned via SSL_CTX_use_PrivateKey(), etc.»
Аутентификация устройств на Linux по аппаратному ключу в системах верхнего уровня