GnuPG / PGP a SSL: Sdílení stejný soukromý klíč?

hlasů
7

Snažím se vyřešit svou používání digitálních podpisů a šifrování. Chápu, že tam jsou 2 hlavní způsoby, jak toho dosáhnout: PGP cesta a SSL způsobem.

Co bych chtěl vědět, jestli je možné použít stejný soukromý klíč pro SSL certifikát a GnuPG, za předpokladu, že se jedná o RSA 2048 bitový klíč.

Už mám certifikát SSL podepsaný CA, tak jsem doufal, že používat soukromý klíč, který certifikátu jako hlavní soukromý klíč GnuPG.

Vím, že nemůžeme dělat tvrzení mezi SSL a GnuPG tímto způsobem, ale já bych chtěl mít jen jeden soukromý klíč (tedy pouze nutnosti chránit jeden kus dat)

dík

Položena 07/03/2012 v 10:51
zdroj uživatelem
V jiných jazycích...                            


1 odpovědí

hlasů
10

Můžete to udělat, ale to nemusí být nutně dobré praxe.

Za prvé, když říkáte „SSL certifikát“, pravděpodobně jste na mysli „X.509 certifikát“. SSL / TLS používá certifikáty X.509 většinu času, ale také to může použít OpenPGP certifikáty (pokud jsem si vědom, jen GnuTLS je podporuje).

Všimněte si, že jsem také použil výraz „OpenPGP certifikát“. Většina lidí nazývají „(Open) PGP veřejný klíč“, ale oni jsou ve skutečnosti certifikáty: jsou to kombinace veřejný klíč, identifikátor a některé atributy, podepsané jinými subjekty, které se připojují svůj podpis k tomu, aby se tvoří celkový certifikátu. Přísně vzato, není to jen veřejný klíč.

Hlavní rozdíl mezi certifikátem X.509 a osvědčení o PGP je, že X.509 může mít pouze jeden podpis (tj emitenta), zatímco více podpisy mohou být přidány do certifikátu PGP. (Model PGP můžete využít k hierarchické PKI podobného modelu, zatímco model PKI nelze použít ke zpracování modelu Web-of-Trust.)

Tento kód Java demonstruje „konvertovat“ sadu klíčů PGP do X.509 certifikát s vlastním podpisem. V zásadě by se také proměnit v CSR získat certifikát X.509 od CA. Ať už je to dobrý nápad, aby tak učinily, je jiná věc.

Za prvé, je to obvykle dobrý nápad, aby re-generovat nové klíčové párů jednou za čas. Typicky, to je jeden z důvodů, X.509 certifikáty používané pro SSL mají datum ukončení platnosti (PGP signatury může být také časově omezena).

Ty by také účinně dát všechna vejce v jednom košíku. Je-li ohroženo jedním z klíčových, jak vaše X.509 a PGP certifikáty by byly ohroženy.

A co je důležitější, je to považováno za špatné praxe znovu použít stejné klíče pro podepisování a šifrování : jejich využití pro dvě různé aplikace (SSL / TLS a GnuPG) by jen ten problém ještě horší.

Odpovězeno 07/03/2012 v 12:19
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more