Получение сертификата x.509 и личная безопасность
Возможно ли получить сертификат x.509, самостоятельно создав пару ключей, а центру сертификации предоставив только открытый ключ?
На публичных серверах сертификатов, например http://www.trustcenter.de, предлагает создать сразу пару ключей. Мне кажется это как-то не очень конфиденциально и приватно, ведь они могут у себя оставить копию закрытого ключа, и теоретически, потом силовые органы могут потребовать его у этого
центра сертификации...
комментариев: 11558 документов: 1036 редакций: 4118
А они математически связаны. Хотя, конечно, ничто не мешает Вам сделать несовместимые друг с другом открытый и закрытый ключи, только проку от них никакого не будет.
Кстати, такая же ситуация с ключами OpenPGP. Не путайте открытые и закрытые ключи с базовыми ключами и подключами. Первые в рамках протокола связаны только номерами ID (чтоб программа знала, какой закрытый ключ использовать для зашифрованного сообщения). Вторые — базовые ключи открытые и открытые подключи — действительно заверяются перекрёстными подписями во избежание подмены.
Корневой ключ УЦ применяется только для заверения других сертификатов — это требование формата X.509. Технически, УЦ может создать специальный code-signing-сертификат, заверить его корневым ключом, и уже его использовать для подписания программ.