id: Гость   вход   регистрация
текущее время 06:06 13/12/2019
Автор темы: Гость, тема открыта 28/10/2010 08:01 Печать
Категории: софт, pgp, gnupg, openpgp, стандарты, x.509
http://www.pgpru.com/Форум/РаботаСGnuPG/ПодписатьПубличныйКлючPKI-сертификатомОтБанка
создать
просмотр
ссылки

Подписать ключ PKI-сертификатом от интернет-банка


Возможно ли это?
Понятно что подписать можно любой текст прозрачной подписью, в том числе и любые ключи. Но хотелось бы чтобы такой ключ сохранился в стандартной связке. Это возможно? Было бы очень красиво.


(Web of Trust себя не оправдала – нужных мне людей в ней, конечно, нет. Поэтому хочу попросить их подписать свои PGP-ключи сертификатами от разных банков, благо сейчас они у всех (иностранцев) есть.)


 
Комментарии
— SATtva (28/10/2010 19:03)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
OpenPGP и X.509 — несовместимые стандарты. Подписать OpenPGP-ключ сертификатом X.509 невозможно. Более того, оконечные сертификаты X.509 (в отличие от корневых и промежуточных) имеют запрет на сертификацию ключей.
— глобус (29/10/2010 07:05)   <#>
что значит запрет? если есть публичный и секретный ключи то что может помешать пользователю сделать подпись?

сертификат это же просто подписанный кем-то публичный ключ
— SATtva (29/10/2010 07:26)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Это значит, что есть определённые нормы стандарта, в частности, понятие constraints. Разумеется, Вы, математически, вольны делать с ключом всё, что угодно (хоть преобразовать его в сертификат OpenPGP), только это уже не будет иметь к X.509 PKI никакого отношения.
— Гость (29/10/2010 11:26)   <#>
Ну типа как ладьёй ходить по диагонали :)
— глобус (30/10/2010 08:12)   <#>
Понятно

Мне это нужно не в рамках корпоративного стандарта а чтобы Васю из Белфаста аутентифицировать сидючи на Алтае
— SATtva (30/10/2010 08:56)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
У PGPCorp есть спецификация по паковке иерархий сертификатов X.509 в формат, совместимый с OpenPGP. Только кроме PGP её никто не поддерживает.
— unknown (11/11/2010 14:00)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Но идут работы по стандартизации схожих решений:
fileUsing OpenPGP Keys for Transport Layer Security (TLS) Authentication
Web of Trust себя не оправдала – нужных мне людей в ней, конечно, нет. Поэтому хочу попросить их подписать свои PGP-ключи сертификатами от разных банков, благо сейчас они у всех (иностранцев) есть.)

И ещё неизвестно кто в итоге чего не оправдает.
— SATtva (11/11/2010 14:06)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
В GnuTLS поддержка уже есть, по-моему.
— unknown (11/11/2010 14:49, исправлен 11/11/2010 14:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Ага, точно. Осталось встроить в браузеры и почтовые программы (и соотвественно была бы поддержка на серверах), чтобы была возможность хотя бы для тех, кому это нужно.

Especially in distributed environments where the concept of authorities is not clear, the use of the Openpgp trust model has obvious advantages.
We believe that users should have the freedom to choose the trust model that suits best their needs, thus in GnuTLS we have implemented both.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3