デジタル証明書クラス2を使用していくつかのファイルをダウンロードするアプリケーションがあります。これは良い考えではないことは知っていますが、アプリケーションはパスワードの入力を自動的に処理します。
今、新しいクライアントはこのアプリケーションを望んでいますが、私が彼らの証明書とパスワードで何でもできるのではないかと恐れているので、彼らは私にパスワードを与えたくありません。
私ができる方法はありますか:
また
これらのトピックに関するヘルプは大歓迎です!
証明書を使用して、パスワードを知らなくてもファイルをダウンロードできます。
不可能。パスワードは、秘密鍵の素材を暗号化するために使用されます。パスワードがわからないため、秘密鍵もわからず、認証に証明書を使用することはできません。
ただし、パスワードのエントロピーはキーよりもはるかに少ないことに注意してください。クライアントが適切なパスワードを考えていなかった場合、ブルートフォースでパスワードを推測するのは比較的簡単です。このサイトでは、1日あたり約3,000万回のパスワード試行が可能であると主張しています。次に、28バイトのエントロピー(つまり、2 ^ 28の組み合わせ)のパスワードを想定すると、1〜2週間でパスワードを推測できます。
特定のURLからのみファイルをダウンロードできる2番目の証明書を取得します。
質問のその部分は、サーバーが受け入れる証明書によって異なります...