जब कोड CA की समय सीमा समाप्त हो जाती है तो कोड प्रमाणपत्रों का क्या होता है?


9

मेरे लिए अब तक स्पष्ट है: यदि कोड साइन सर्टिफिकेट की समय सीमा समाप्त हो जाती है, तो उस समय हस्ताक्षरित कोड को सत्यापित / स्वीकार किया जाएगा, जब उसे टाइम स्टैम्प के साथ हस्ताक्षरित किया गया था। यदि नहीं, तो हस्ताक्षरित कोड भी समाप्त हो गया है।

लेकिन क्या होगा यदि मेरा सीए खुद को समाप्त कर देता है (रूट सीए इस प्रकार सीए जारी करता है)?

  • क्या यह कोड अभी भी स्वीकार किया जाएगा यदि यह टाइमस्टैम्प किया गया है?
  • समाप्त रूट और जारी करने वाले CA प्रमाण पत्र अभी भी मौजूद होने चाहिए (जैसे विश्वसनीय रूट सीए प्रमाणपत्र स्टोर में)? यह मेरी धारणा है, भले ही CA को आबंटित किया जा सकता है, हस्ताक्षरित निष्पादित करने वाले क्लाइंट को अभी भी CA पर भरोसा करना चाहिए? अन्यथा विश्वास श्रृंखला टूट जाएगी, है ना?
  • क्या CRL या AIA की कमी से कोई समस्या पैदा होगी?

जवाबों:


12

लेकिन क्या होगा यदि मेरा सीए खुद को समाप्त कर देता है (रूट सीए इस प्रकार सीए जारी करता है)?

सचमुच, कुछ भी नहीं। आइए इसे अधिक विवरण में थोड़ा समझाएं।

यदि हस्ताक्षर टाइमस्टैम्प नहीं है, तो हस्ताक्षर लंबे समय तक मान्य है:

  • डेटा से छेड़छाड़ नहीं की जाती है
  • हस्ताक्षर प्रमाणपत्र समय मान्य है
  • श्रृंखला में न तो प्रमाण पत्र निरस्त किया जाता है
  • रूट प्रमाणपत्र पर भरोसा है

एक बार हस्ताक्षर प्रमाणपत्र समाप्त हो जाने पर, निरस्त या एक या दूसरे तरीके से अमान्य हो जाता है, हस्ताक्षर को अमान्य माना जाता है। सादा और सरल।

डिजिटल हस्ताक्षर में टाइमस्टैम्प का उद्देश्य हस्ताक्षरित सामग्री के लिए एक विस्तारित विश्वास प्रदान करना है। हस्ताक्षर प्रमाण पत्र थोड़े समय के लिए मान्य हैं और बुनियादी ट्रस्ट सेटिंग्स दीर्घकालिक (शायद, संग्रहीत) हस्ताक्षर के लिए उपयुक्त नहीं हैं। आम तौर पर (टाइमस्टैम्प के बिना), आपको हर बार हस्ताक्षर को फिर से बनाना होगा जब हस्ताक्षर प्रमाणपत्र नवीनीकृत हो जाता है। यह कहीं नहीं है।

डिजिटल हस्ताक्षर में टाइमस्टैम्प जोड़कर, निम्न स्थितियों में विश्वास की स्थिति बदल जाती है:

  • डेटा से छेड़छाड़ नहीं की जाती है
  • हस्ताक्षर करने का प्रमाण पत्र * हस्ताक्षर समय पर मान्य * था : हस्ताक्षर करने का समय प्रमाणपत्र की वैधता पर हस्ताक्षर करने के भीतर है
  • * हस्ताक्षर करने वाली पीढ़ी से पहले न तो प्रमाणपत्र रद्द किया गया था
  • दोनों, हस्ताक्षरित और टाइमस्टैम्प प्रमाणपत्र विश्वसनीय रूट सीए (उनके समय की वैधता की परवाह किए बिना, बस ट्रस्ट स्टोर में होना चाहिए)।

यहां क्या बदल गया है: शामिल प्रमाण पत्र समाप्ति के बाद हस्ताक्षर वैध रहता है। यही है, हस्ताक्षर करने और टाइमस्टैम्प प्रमाणपत्रों के लिए पूरी श्रृंखला (रूट प्रमाणपत्र के साथ) समाप्त हो सकती है और यह विश्वास नहीं तोड़ेगी। श्रृंखला में प्रमाण पत्र निरस्त किए जा सकते हैं। केवल आवश्यकता: यदि कोई प्रमाण पत्र निरस्त किया जाता है, तो हस्ताक्षर किए जाने के बाद निरस्तीकरण समय (इसे CRL से प्राप्त किया जाता है) को सेट किया जाना चाहिए (हस्ताक्षर का समय एक टाइमस्टैम्प द्वारा पहचाना जाता है)। पिछला वाक्य का अर्थ है कि यह प्रमाणित करने के लिए एक हस्ताक्षरित सीआरएल होना चाहिए कि हस्ताक्षर समय पर न तो प्रमाणपत्र रद्द किया गया था।

यही कारण है कि आधुनिक विंडोज सिस्टम बहुत समय पहले समाप्त हो चुके रूट प्रमाणपत्रों को जहाज करता है। वे अभी भी पुराने हस्ताक्षरों को मान्य करने के लिए उपयोग किए जाते हैं और जिन्हें टाइमस्टैम्प किया जाता है।

कुछ समय पहले मैंने एक ब्लॉग पोस्ट लिखी है जो इस विषय को और अधिक विवरण में बताती है: डिजिटल हस्ताक्षर और टाइमस्टैम्प


आपका ब्लॉग पोस्ट इस विषय पर एक बहुत अच्छा लेख है!
थोरियमबीआर

मैंने इस विषय को आईटी प्रो (और डेवलपर्स) में बहुत भ्रमित किया और एक ब्लॉग पोस्ट में चीजों को क्रमबद्ध करने की कोशिश की।
Crypt32

लेकिन CRL वाला मुद्दा मेरे लिए पूरी तरह से स्पष्ट नहीं है। तो क्या मेरे पास अभी भी (अंतिम) CRL की समय सीमा समाप्त हो चुका है?
dr_pepper285

हाँ, CRLs की आवश्यकता है। आवश्यक नहीं कि अंतिम, इसे ThisUpdateसमय पर हस्ताक्षर करने के बाद प्रकाशित किया जाए । यह सीआरएल यह साबित कर सकता है कि हस्ताक्षर करने के समय दोनों श्रृंखलाओं (हस्ताक्षर और टाइमस्टैम्प) में कोई भी प्रमाणपत्र निरस्त नहीं किया गया था।
Crypt32
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.