| ||||
| ||||
| "Срок действия открытого ключа- 1год 3 мес." Чье это ограничение? А если я хочу never expired? | ||||
| Ответы: | ||||
| ||||
| Ограничения ФАПСИ. Увеличивается вероятность неявной компрометации закрытого (секретного) ключа. | ||||
| ||||
| Я должен выдерживать этот срок сам административно или где-то есть программная закладка? | ||||
| ||||
| Если использовать сертификаты, то возможно два варианта. 1. Делать дополнение PrivateKeyUsagePeriod и его проверять в сертификате. 2. Проверять срок действия закрытого ключа, основываясь на сроке действия сертификата. Сроки начала действия у них одинаковые. | ||||
| ||||
| вот не хотел спрашивать, но вы первые начали :) Можно ли построить систему, которая не использует сертификаты? Чтобы по теории - алиса и боб обменялись открытыми ключами и разошлись, полностью доверяя друг другу. Где-то в конфе вы кажется обещали массу приключений тем, кто захочет сделать такую систему, хотя все эти Цс, СОс и т.п. - лишние навороты, лишь удорожающие разработку систем, в которых безопасность ключей обеспечивается другими методами. | ||||
| ||||
| Конечно сделать, чтобы Алиса и Боб обменялись открытыми ключами и работают можно. Да это уже и есть в примерах использования CryptoAPI. Но почему то дело обычно Алисой и Бобом не ограничивается. Их становится все больше. Приходится открытые ключи связывать с именами (адресами), делать способы их хранения, поиска, распространения, просмотра, компрометацию и т.д. Вопрос стоимости конечно не последний. Если бы стоял вопрос о выборе: разработка PKI или реализация через открытые ключи, наверно решение было бы однозначное. Но есть возможность использовать уже существующее и как раз сократить время разработки. | ||||
| ||||
| Подчиненный центр сертификации в Microsoft CA получает сертификат на 2 года. Из этого возникает проблема: срок окончания действия выдаваемых сертификатов не может быть позже срока окончания действия сертификата ЦС, а договора с клиентами заключаются на год. В итоге у каких-то клиентов срок действия сертификата оказывается меньше года и они могут предьявить претензии. Как решить эту проблему? | ||||
| ||||
| Срок действия выпускаемых ЦС сертификатов устанавливается. Общее правило. Срок действия сертификата не может быть долше сертификата центра. Срок его действия по умолчанию 1 год (пользователя). Исправить можно через реестр: HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\<CA Name>. | ||||
vadim