Chữ ký chứng chỉ số có thể được sao chép không? (ssl)

Question

Theo chữ ký khóa riêng tiêu chuẩn X.509 phải tạo cùng một thông báo được mã hóa cho bao giờ? Tôi có đúng không?

Để tránh đối phó trường dữ liệu nào trong chứng chỉ số sẽ bị thay đổi?

họ không thể xử lý thông tin của người dùng, nhưng bằng cách đối phó chữ ký số được tạo bằng khóa cá nhân và giữ cho kẻ tấn công trang web có thể nói rằng tôi được CA chứng nhận và trình duyệt web sẽ đồng ý với thông tin đó. Có đúng không?

Số phiên bản, Số sê-ri, Số nhận dạng thuật toán chứng chỉ, Tên nhà phát hành, Thời hạn hiệu lực, Tên chủ đề, Thông tin khóa công khai chủ sở hữu Số nhận dạng duy nhất, Mã định danh duy nhất của chủ đề, Tiện ích mở rộng, Chữ ký số của cơ quan chứng nhận. Đây là các trường trong chứng chỉ số, nếu trường này không thay đổi bao giờ, giá trị được mã hóa sẽ giống nhau. Nếu tôi truy cập gmail, nó sẽ gửi chứng chỉ kỹ thuật số được mã hóa. Nếu tôi sử dụng chứng chỉ kỹ thuật số được mã hóa trong trang web của tôi nói rằng tôi là chủ sở hữu của gmail.but Tôi không thể sử dụng thông tin do người dùng gửi vì tôi sẽ không có khóa riêng

Answer 1

Chứng chỉ phải được CA ký tên để được coi là hợp lệ. Nội dung của chứng chỉ được băm, sau đó được mã hóa bằng khóa riêng của CA. Sau đó, bất kỳ ai cũng có thể xác thực xem chứng chỉ có hợp lệ hay không bằng cách giải mã chữ ký bằng khóa công cộng của CA và xác minh xem mã băm có phù hợp hay không. Chữ ký xác minh rằng một tên cụ thể được liên kết với một khóa công khai cụ thể - ngay cả khi ai đó sao chép đúng tệp chứng chỉ, họ sẽ không biết khóa cá nhân tương ứng với khóa công khai đó và vì vậy họ không thể sử dụng nó để mạo danh chủ sở hữu chứng chỉ.

Answer 2

Tôi đã tự hỏi cùng một câu hỏi. .

Reading @ câu trả lời của Anon dẫn tôi đến đây: https://en.wikipedia.org/wiki/Transport_Layer_Security#Description

Các bắt tay bắt đầu khi một client kết nối đến một máy chủ TLS-enabled yêu cầu một kết nối an toàn và khách hàng trình bày một danh sách các hỗ trợ bộ mã hóa (mật mã và hàm băm).

Từ danh sách này, máy chủ chọn một mật mã và hàm băm mà nó cũng hỗ trợ và thông báo cho khách hàng về quyết định.

Máy chủ thường gửi lại mã nhận dạng của nó dưới dạng giấy chứng nhận số kỹ thuật số. Chứng chỉ có chứa tên máy chủ, thẩm quyền chứng chỉ đáng tin cậy (CA) xác nhận tính xác thực của chứng chỉ và khóa mã hóa công khai của máy chủ.

Máy khách xác nhận tính hợp lệ của chứng chỉ trước khi tiếp tục.

Để tạo các phím phiên sử dụng cho các kết nối an toàn, các client hoặc:

• mã hóa một số ngẫu nhiên với các máy chủ công cộng quan trọng và gửi kết quả đến máy chủ (mà chỉ máy chủ nên được có thể giải mã bằng khóa riêng của nó); cả hai bên sau đó sử dụng số ngẫu nhiên để tạo ra một khóa phiên duy nhất cho mã hóa và giải mã dữ liệu tiếp theo trong phiên hoặc

• sử dụng Diffie-Hellman key trao đổi cách an toàn tạo ra một chìa khóa phiên ngẫu nhiên và độc đáo cho việc mã hóa và giải mã có thuộc tính bổ sung của bí mật chuyển tiếp: nếu khóa riêng của máy chủ được tiết lộ trong tương lai, nó không thể được sử dụng để giải mã phiên hiện tại, ngay cả khi phiên bị chặn và ghi lại bởi bên thứ ba.

Dường như trong ví dụ giả mạo của bạn (mà tôi đã tự hỏi cũng) khách hàng xác nhận giấy chứng nhận thành công trong đoạn 4. Và sau đó tại khoản 5 họ thất bại trong việc thỏa thuận về khóa phiên như máy chủ không thể đọc số ngẫu nhiên của khách hàng.