X509: Какая разница между цифровой подписью и неотказуемым

Ответ 1

Я понимаю, что этот вопрос немного устарел, но я думаю, что могу пролить какой-то столь необходимый свет на вопрос.

Значение неотказуемости в атрибуте keyUsage относится ко всему сертификату, а не к какой-либо конкретной цели. Наличие флага отсутствия отказа указывает на то, что у закрытого ключа есть достаточная защита, чтобы сущность, указанная в сертификате, не могла впоследствии отказаться от действий-отказов, которые они принимают с сертификатом. Наличие флага не препятствует отказу, скорее указывает на то, что отказ от него вряд ли сможет выдержать разумный контроль.

Таким образом, в этом конкретном случае CA предоставляет пользователю возможность сертификата, который выполняет или не включает элемент неотказуемости. Если вы хотите утверждать тем, кто проверяет подпись, которую вы не можете легко отрицать, вы подписали ее (токен USB является ключевым средством для защиты здесь), используйте сертификат отказа от отказа. В противном случае используйте сертификат, помеченный для цифровых подписей. (В зависимости от других атрибутов сертификата вы можете или не сможете подписывать документы с одним или обоими сертификатами.)

См. Википедию: http://en.wikipedia.org/wiki/Non-repudiation
См. Также соответствующий RFC: http://www.faqs.org/rfcs/rfc3280.html (раздел 4.2.1.3)

Ответ 2

Я разговариваю с парнем, который его реализовал, и, судя по всему, они намеревались "не отказываться" от сертификата для/действительно/подписи документов и "цифровой подписи", которые будут использоваться для аутентификации.

Ответ 3

"цифровая подпись" означает, что вы можете гарантировать источник документа или идентификатор пользователя; это АУТЕНТИФИКАЦИЯ.

"отказ от отказа" означает, что документ одобрен, это обязательство по содержанию также называется ЭЛЕКТРОННАЯ ПОДПИСЬ (не цифровая подпись).

Надеюсь, что это поможет заставить их всегда задавать этот вопрос даже в 2013 году...

Franck.

Ответ 4

Интересный вопрос, и ваши мысли соответствуют моим собственным.

Я нашел ссылку на IBM здесь о ключевом использовании, но я все еще не могу разобраться в этом различии.

Лучшее, что я могу выразить в своем понимании, прочитав статью, состоит в том, что использование без отказов означает "Я действительно хотел подписать это, и я действительно понимаю последствия подписания этого".

Извините, это не полный ответ, но я надеюсь, что это поможет.

РЕДАКТИРОВАТЬ 4 апреля 2014 года

Мне снова дали больше очков. Ответ от @Calrion намного лучше, поэтому отправляйте любые + 1s таким образом.

Ответ 5

На этой странице приведены несколько четких описаний всех ключевых применений:

https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_keyusageextensionsandextendedkeyusage_r.html.

Ответ 6

"цифровая подпись" должна использоваться для аутентификации (именно вы подписали это), а "отказ от отказа" означает, что вы знаете, что вы подписали.

Если вы используете свой приватный сертификат для аутентификации (на каком-то сервере), аутентификация работает следующим образом: во время установления соединения ваш браузер (или другой SW) подписывал некоторые случайные данные, предоставленные сервером, чтобы доказать, что это вы с другой стороны, Но ключевым моментом является то, что вы не контролируете, какие данные вы подписываете. Таким образом, сервер вы можете отправлять вместо случайных данных "Я, Петр Новонти, отдаю все свои деньги Джеймсу Кларку".

Чтобы избежать этого, клавиша, используемая для подписания некоторых документов, должна иметь биты "без отказов", а не "цифровую подпись".