Signature

認證機構簽署了哪些資訊?

  • June 17, 2020

CA 簽署什麼數據?

我知道證書中有很多資訊,例如證書本身的序列號、X.509 版本號、使用者公鑰、密鑰所屬的非對稱算法及其大小、使用者 ID、證書的有效性(開始和到期日)、CA ID,最後是數字簽名和用於生成它的算法。

CA 私鑰對哪些資訊進行了簽名?它只是*(使用者 ID || 使用者公鑰)*還是其他?

我不知道是否需要指定,但我用||符號連接,但我不知道數據是否只是按順序附加。

簽名的資訊可能因證書而異,但基本上可以通過查看RFC 5280並向下工作來找到該過程:

4.1.1.3。簽名值


signatureValue 欄位包含根據計算得出的數字簽名
ASN.1 DER 編碼的 tbsCertificate。ASN.1 DER 編碼
tbsCertificate 用作簽名函式的輸入。這個
簽名值被編碼為 BIT STRING 並包含在
簽名欄位。這個過程的細節是為每個
[RFC3279]、[RFC4055] 和 [RFC4491] 中列出的算法。

通過生成此簽名,CA 證明了該簽名的有效性
tbsCertificate 欄位中的資訊。特別是,CA
證明公鑰材料和主題之間的綁定
的證書。

請注意,此處的簽名值是 CA 在證書上放置的簽名,而不是文件上的數字簽名。

下一部分包含內容描述:

4.1.2. TBSC證書


序列 TBSCertificate 包含與
證書的主體和頒發它的 CA。每一個
TBSCertificate 包含主題和發行者的名稱,公共
與主題關聯的密鑰、有效期、版本號、
和一個序列號;有些可能包含可選的唯一標識符
欄位。本節的其餘部分描述了語法和
這些欄位的語義。TBSCertificate 通常包括
副檔名。Internet PKI 的擴展在章節中描述
4.2.

TBSinTBSCertificate代表待簽名,這使事情變得非常清楚。

更準確地說,TBS證書的內容是

TBSCertificate ::= 序列 {
版本 [0] 版本預設 v1,
序列號證書序列號,
簽名算法標識符,
發行人名稱,
有效性有效性,
主題名稱,
主題公共密鑰資訊主題公共密鑰資訊,
issuerUniqueID [1] 隱式唯一標識符可選,
-- 如果存在,版本必須是 v2 或 v3
subjectUniqueID [2] 隱式唯一標識符可選,
-- 如果存在,版本必須是 v2 或 v3
擴展 [3] 擴展可選

subjectPublicKeyInfo上麵包含編碼的公鑰。

通過查看索引可以找到擴展列表:

4.2. 證書擴展 ....................................26
4.2.1。標準擴展 ...................................27
4.2.1.1。授權密鑰標識符 ....................27
4.2.1.2。主題密鑰標識符................................28
4.2.1.3。密鑰用法 .................................29
4.2.1.4。證書策略 ...................................32
4.2.1.5。策略映射..........................35
4.2.1.6。主題備用名稱 ....................35
4.2.1.7。發行人備用名稱 ...................38
4.2.1.8。主題目錄屬性..........................39
4.2.1.9。基本約束 ...................................39
4.2.1.10。名稱限制 ....................................40
4.2.1.11。政策限制 ....................................43
4.2.1.12。擴展密鑰用法.......................44
4.2.1.13。CRL 分發點 ....................45
4.2.1.14。禁止任何策略..........................48
4.2.1.15。最新鮮的 CRL(又名 Delta CRL
分發點)......................48
4.2.2. 專用 Internet 擴展 ....................................49
4.2.2.1。權限資訊訪問..................................49
4.2.2.2。主題資訊訪問................................51

引用自:https://crypto.stackexchange.com/questions/42345