Pull to refresh

Comments 15

А для чего проверяется факт присутствия открытого ключа в БД?

Не совсем понял о каком открытом ключе в БД идет речь. Все открытые ключи "хранятся" в сертификатах. Собственно открытые ключи используются для прямого доступа (CKAID) к запросам на сертификат, к сертификатам. Подскажите о чем идет речь.

Я говорю вот про этот скриншот:
image

Теперь все ясно. Здесь речь идет (и это не догма, а просто мое мнение и не более того), чтобы каждый сертификат/запрос имел уникальный ключ. Это позволяет избегать многих недоразумений. И эта проверка легко отключается.

Я вот как раз и хотел спросить, как реализовано сопоставление публичных ключей. Как минимум для RSA это задача не совсем тривиальная.

Я только чтосегодня вернулся, поэтому может до меня не все сразу доходит: в чем нетравиальность задачи для RSA?

В том, что можно сделать как минимум два с виду разных открытых ключа для одного закрытого и наоборот — два закрытых для одного открытого. Достаточно для этого добавить λ(n) к экспоненте.

Я думаю решение этой задачи для RSA можно найти в проекте XCA, рассмотрев функцию findUniqueID(CKO_PUBLIC_KEY). Функция находится в файле pkcs11.cpp.

Мнение диванного эксперта.
Если решили обходится спартанским интерфейсом, то стоило сразу делать на чем то в стиле ncurses, чтобы по ssh в консоли работало.
А чем плох спартанский интерфейс? Все просто, ясно и понятно.
Если захочется на сервере поднять и с внешки подключиться для управления. Но автор уже прояснил этот момент выше.

С победными реляциями я поторопился по поводу openssl и gost-engine. К сожалению выпустить квалифицированный сертификат с этой версией openssl и gost-engine не удастся, не хватает обрабтки требуемых oid-ов:


Error Loading extension section cert_ext
140436202112768:error:22097081:X509 V3 routines:do_ext_nconf:unknown extension:crypto/x509v3/v3_conf.c:82:
140436202112768:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:crypto/x509v3/v3_conf.c:47:name=issuerSignTool, value=@issuer_sign_tool_section

Надо дорабатывать!

Sign up to leave a comment.

Articles