36

スイスの郵便局が発行した USB トークンの証明書を扱わなければなりません。同じトークンで 2 つの証明書を配信します。使用目的のフィールドには、1 つは「否認防止」、もう 1 つは「デジタル署名」があります。

今、私は2つの実際の違いが何であるか理解できません:私は常に同じ証明書で両方を見てきました.1つの役割を持つ同じIDの2つの証明書は決してありません. 実際、否認防止とデジタル署名が同じではないというシナリオは想像できません。

違いを教えてください。また、どのような状況でどちらを選ぶべきかについての提案があれば、それも役に立ちます.s

4

7 に答える 7

53

この質問は少し古いと思いますが、この質問に非常に必要な光を当てることができると思います.

keyUsage 属性の否認防止値は、特定の目的ではなく、証明書全体に関連しています。否認防止フラグの存在は、秘密鍵が十分に保護されていることを示しており、証明書で指定されたエンティティは、証明書で実行するアクションを後で拒否 (拒否) することはできません。フラグの存在は否認を防ぐものではなく、むしろ、否認が合理的な精査に耐える可能性が低いことを示しています。

したがって、この特定のケースでは、CA は、否認防止要素を含むか含まない証明書のオプションをユーザーに与えています。署名を検証する人に対して、署名したのが自分であることを簡単に否定できないことを主張したい場合 (ここでは USB トークンがキー イネーブラーです)、否認防止証明書を使用します。それ以外の場合は、デジタル署名用にマークされた証明書を使用してください。(証明書の他の属性によっては、どちらかまたは両方の証明書でドキュメントに署名できる場合とできない場合があります。)

ウィキペディアを参照してください: http://en.wikipedia.org/wiki/Non-repudiation
関連する RFC も参照してください: http://www.faqs.org/rfcs/rfc3280.html (セクション 4.2.1.3)

于 2012-04-06T07:30:00.643 に答える
9

私はそれを実装した人に話を聞いたところ、どうやら彼らは /really/ 署名ドキュメント用の「否認防止」証明書と、認証に使用される「デジタル署名」証明書を意図していたようです。

于 2010-08-13T09:24:01.367 に答える
6

「デジタル署名」とは、ドキュメントの出所またはユーザーの ID を保証できることを意味します。これが認証です。

「否認防止」とは、ドキュメントが承認されたことを意味します。これは、電子署名とも呼ばれる内容のコミットメントです (デジタル署名ではありません)。

2013年でも常にこの質問をしているので、これが役立つことを願っています.

于 2013-12-12T15:44:29.197 に答える
5

興味深い質問です。あなたの考えは私の考えと一致します。

キーの使用法に関するIBM hereのリファレンスを見つけましたが、まだ区別を理解できません。

記事を読んだ私の理解を表現できる最善のことは、否認防止の使用法は「私は本当にこれに署名するつもりであり、これに署名することの意味を本当に理解している」ということです.

申し訳ありませんが、これは完全な回答ではありませんが、お役に立てば幸いです。

2014 年 4 月 4 日編集

また点数が増えました。@Carrion からの回答の方がはるかに優れているため、その方法で +1 を送信してください。

于 2010-08-12T13:57:12.923 に答える
3

認証には「デジタル署名」を使用する必要があります(これに署名したのはあなたでした)が、「否認防止」とは、署名されたものを知っていることを意味します。

認証にプライベート証明書を使用する場合 (一部のサーバーに対して)、認証は次のように機能します。ただし、重要な点は、署名するデータを制御できないことです。したがって、サーバーは、ランダム データの代わりに「私、ペトル ノヴォンティ、すべてのお金をジェームズ クラークに寄付します」と送信できます。

これを回避するには、一部のドキュメントの署名に使用される鍵に、「デジタル署名」ビットではなく「否認防止」ビットを設定する必要があります。

于 2017-04-05T00:38:56.623 に答える