0
Le certificat X509 a un ensemble de bits keyUsage. Deux d'entre eux sont digitalSignature
nonRepudiation (les éditions récentes de X.509 ont renommé ce bit en contenuCommitment). J'ai lu RFC X509 (http://tools.ietf.org/html/rfc5280) et il parle de l'utilisation générale de ces bits. Et je lis RFC PKCS7 (http://tools.ietf.org/html/rfc2315) et il parle de la structure PKCS7 et ainsi de suite et ne spécifie pas quels bits doivent être définis.Le certificat X509 doit-il avoir un bit non répété pour vérifier la signature PKCS7?
Existe-t-il une spécification RFC ou autre spécifiant si l'un ou les deux doivent être définis?
Cordialement, Victor
Vous l'avez. Je pense que cela confirme mes pensées. Parmi les problèmes que PKCS # 7 est presque synonyme de SMIME dans de nombreux endroits. Et SMIME exige la non-répudiation, c'est pourquoi je suis confus. –
Le PKCS # 7 fait vraiment référence aux "messages signés numériquement". Donc, cela dépend vraiment du type de données PKCS # 7 dont vous parlez. Si vous parlez de S/MIME, alors oui, vous voulez un ensemble de "signature numérique" et de "non-répudiation". Si vous parlez d'un fichier encapsulant un ensemble de certificats, ce n'est pas aussi important. – Shadowman
Il existe plusieurs normes qui disent presque les mêmes choses - PKCS # 7, S/MIME, PKIX, CMS - sans jamais être complètement compatibles. Je viserais à suivre le CMS (RFC 5652) à moins qu'il s'avère être incompatible avec certains logiciels hérités que je devais utiliser. En ce qui concerne la non-répudiation: TOUTES les signatures numériques utilisant la cryptographie asymétrique offrent la non-répudiation (aucune autre partie ne peut fausser votre signature tant que vous gardez votre clé privée sécurisée) mais certaines normes exigent un certificat qui revendique explicitement la non-répudiation comme clé. utilisation. La non-répudiation implique la signature, vous n'avez pas besoin des deux. – dajames