id: Гость   вход   регистрация
текущее время 11:36 29/03/2024
Автор темы: Гость, тема открыта 02/06/2004 20:18 Печать
http://www.pgpru.com/Форум/РаботаСPGP/КакЗаверитьСертификатомX509СозданныйВPGPКлюч
создать
просмотр
ссылки

как заверить сертификатом x.509 созданный в PGP ключ?


Я хочу пользоваться только криптографическими средствами Windows XP.
Некоторые мои корреспонденты используют PGP и могут мне прислать свой открытый ключ в формате asc.
Что мне теперь сделать чтобы этот открытый ключ был заверен сертификатом?
Проще говоря как мне его преобразовать в формат cer файла, понятный большинству программ Microsoft?
Извиняюсь, если я не совсем корректно использую терминологию – только начинаю изучать криптографическое программное обеспечение...


 
Комментарии
— SATtva (02/06/2004 21:22)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вопрос понятен. Постараюсь ответить коротко, не вдаваясь глубоко в технический аспект.

Преобразовать ключ OpenPGP (и его сертификат) в ключ и сертификат формата Х.509 в принципе возможно, но очень непросто. Во-первых, ключ OpenPGP должен быть обязательно основан на алгоритме RSA, но не на Эльгамаль/DSS. Во-вторых, для этого придётся раскодировать открытый и закрытый ключ OpenPGP с помощью pgpdump, извлечь оттуда математематический материал данного ключа (показатели модуля, открытой и закрытой экспоненты), сгенерировать с помощью специального ПО и библиотек X CA и OpenSSL сертификат Х.509, основанный на том же математическом материале и отправить полученный сертификат на подпись в удостоверяющий центр (в ином случае, максимум, что вы получите, — это самоподписанный сертификат Х.509, не имеющий никакого доверия в PKI X.509). Причём проводить всю процедуру придётся не Вам, а Вашим корреспондентам, если только они не решат передать Вам свои закрытые ключи (что маловероятно).

Впрочем, вообще всё, изложенное выше, не будет иметь никакой практической пользы. Видите ли, почтовые клиенты, использующие для шифрования Х.509, а я так понимаю, что мы говорим именно о них, отправляют шифрованные письма в формате S/MIME. PGP же зашифровывает и упаковывает сообщения в формат OpenPGP. Поэтому проблема прежде всего не в несовместимости форматов сертификатов, сколько в несовместимости форматов зашифрованных данных. PGP с девятой версии предположительно будет поддерживать S/MIME (Х.509 и сейчас поддерживает), а вот насчёт того, чтобы Windows и мелкософтовские мэйл-клиенты когда-нибудь включили поддержку OpenPGP, я серьёзно сомневаюсь.

Не хочу описывать все отличия Х.509 от OpenPGP (особенности этих форматов весьмо подробно изложены здесь: http://www.pgpru.com/manuals/intro/02_08.htm#3 ), но главное из них в том, что подлинность ключа и сертификата Х.509 может подтверждать только подпись удостоверяющего центра, в то время как ключ OpenPGP может заверить кто угодно, в том числе и Вы, проведя определённую проверку достоверности.

Сертификат Х.509 можно импортировать в PGP — он будет преобразован в ключ и сертификат OpenPGP.

Я хочу пользоваться только криптографическими средствами Windows XP.

Весьма напрасно...
— Гость (03/06/2004 10:45)   <#>
Большое спасибо за ответ, буду думать и разбираться...
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3