問題タブ [pki]

秘密鍵に対して複数の公開鍵を持てるかどうか疑問に思っています。

これはできますか？もしそうなら、セキュリティの問題は何ですか!?

同じ初期値 (初期ベクトルなし) に基づいて複数のキー ペアを生成した場合、キーは「互換性がある」べきではありませんか?

弾む城では、KeyUsageから始まるDEROctetStringを作成できます。

それでは、DEROctetStringからKeyUsageを取得するにはどうすればよいですか？

例：

KeyUsage拡張要求を使用して証明書要求を作成できるため、これが必要ですが、証明書要求だけでは、KeyUsage拡張を取り戻すことができません。

OpenSSLを使用せずにPythonでCSRを生成しようとしています。誰かが正しい方向を指すことができれば、私は非常に感謝しています。

AppleがiPhoneOS用に提供している暗号化オプションはどれくらい広範囲に渡っていますか？公開鍵インフラストラクチャをサポートしていますか？キーストア（またはキーチェーン）をサードパーティのアプリケーションで利用でき、そこで秘密鍵をプル/保存できますか？ユーザーの公開証明書をプルするためのLDAPのサポートはどうですか？

I have two AssymetricAlgorithm RSA keys that I have pulled out of a certificate that was in my keystore. One is the Public Key and the other the Private. Is there a way of getting this keypair into a BouncyCastle AsymmetricCipherKeyPair? BouncyCastle's AsymmetricCipherKeyPair expects a public and private AsymmetricKeyParameter however I have no way of getting my Private key without it being an instance of AssymetricAlgorithm.

データサービスをホストしているLinux/Apache/Railsスタックがあります。データサービスは基本的に、横断検索に似た複数のデータソースのフロントエンドです。

サービスへのクエリは、PKIを介して認証されます。各リクエストを処理するとき、PKIは特定のリクエストに適した各データソースに転送される必要があります。各データソースはPKIを使用してデータアクセスを制御します。

RailsからリクエスターのDNにアクセスする方法は知っていますが、PKIにアクセスする方法や、リクエストを処理するときにコントローラーによって起動されるWebリクエストでPKIを渡す方法についての最初の手がかりはありません。助言がありますか？

オンライン ゲームのレガシー コードを拡張して、ゲームに関連付けられたリソース ファイルが最新バージョンであり、改ざんされていないことを合理的に保証しようとしています。DRM なしで、カーネル モードに入らず、ハードウェアの支援なしでこれを実行したいと考えています。私が最終的に決めたのは、理想的には、ユーザー空間が得られるのと同じくらい安全であるべきです. 彼らがこれらのメカニズムを回避できれば、私は彼らがいたずらをする権利を獲得したと思います.少なくともしばらくの間、私たちはそれらを禁止します. :)

当然行うべきことは、各ファイルの暗号化ハッシュを取得し、ハッシュ出力を事前に計算されたハッシュと比較することです。ただし、現在計算されているハッシュとの比較に使用される、事前に計算されたハッシュをユーザーが簡単に改ざんできないように注意する必要があります。アーキテクチャレベルで私が念頭に置いていた対策は次のとおりです。

1. OS 機能を使用して、プロセスの開始時にすべてのリソース ファイルを書き込み用にロックし、後で他のプロセスがファイルを上書きできないようにします。
2. 各リソース ファイルの MD5 合計を計算します。
3. https サーバーに接続し、クライアントの実行可能ファイルに格納されている特定の署名付き証明書に対する検証を要求します。
4. 「正しい」ハッシュを含むファイルを https 経由でダウンロードし、(ディスクではなく) RAM に保存します。
5. 計算されたハッシュを https 経由で受信したハッシュと比較します。
6. ハッシュが一致しない場合は終了します。

これは、ハッシュをクライアント側に保存するよりも安全です。ハッシュがクライアント側に保存されている限り、通常は誰かがハッシュを変更できるからです。このスキームを使用する場合、攻撃者は、組み込みの公開証明書を変更して、実際に攻撃者の証明書が含まれるように実行可能ファイルを変更する方法を見つけ出す必要があります。これにより、攻撃者の証明書と一致する汚染されたハッシュを含む攻撃者の https Web サーバーに対して検証されます。改ざんされたリソース ファイル。これは確かに実現可能ですが、プログラムがクライアントに保存されている事前計算されたキーを使用している場合よりもはるかに困難ですよね?

実行可能ファイルはネイティブ コードであるため、バイナリを編集して公開キーを置き換えることをさらに困難にするパッカーでラップすることが可能になる場合があります。

さて、2 段落前に、私が考案したスキームを潜在的に攻撃する方法を説明したばかりですが、私が説明した方法以外に、このスキームを攻撃する方法はありますか?

2 番目の質問は、これらのタスクを実行するために Win32 C++ (Visual Studio 2010 コンパイラ) から呼び出すことができる無料の (フリーウェアまたはフリーダムのような) ライブラリとは何ですか? 組み込みの Windows API で実行できますか、それともサード パーティのソリューションが必要ですか?

要約すると、質問は次のとおりです。2. それを実装するためにどの依存関係またはライブラリを使用しますか?

これは単なるゲームであり、国家安全保障や金銭的リスクの問題ではありません (ゲームは 100% フリーウェアであり、ゲーム内経済はありません)。 -力。

私の質問の一方または両方の部分に自由に答えてください。そもそも私が間違った質問をしていると思われる場合は、訂正してください。

ありがとう！

X509 証明書には、一連の keyUsage ビットがあります。そのうちの 2 つは digitalSignature
nonRepudiation です (X.509 の最近の版では、この部分の名前が contentCommitment に変更されています)。

X509 RFC ( https://www.rfc-editor.org/rfc/rfc5280 ) を読みましたが、これらのビットの一般的な使用法について説明しています。

また、PKCS7 RFC ( https://www.rfc-editor.org/rfc/rfc2315 ) を読みましたが、PKCS7 構造などについて説明されており、設定する必要があるビットは指定されていません。

それらの一方または両方を設定する必要があるかどうかを識別するRFCまたはその他の仕様はありますか?

よろしく、ビクター

InfoPath 製品全体がどのように機能するかを理解していません。データをSharepointに保存できることは知っています。しかし、ここに私が混乱しているいくつかの情報があります：

誰かが Infopath フォームを SPS に保存した場合、フォーム全体が保存されますか?それともデータのみが保存されますか?

承認シナリオはどのように機能しますか?

私の雇用主は、各フォームで使用するコードをできるだけ少なくしたいと考えています。彼らは現在、エンド ユーザーがフォームを (Access DB に) 送信し、フォームに署名し、フォームを保存する必要がある PKI を使用しています。これが理想的ではないことはわかっていますが、代わりに何をすべきかを伝えるのに十分な背景がありません.

次のような簡単なことをするのに問題があります

しかし、私がPKI対応のSharePointサイトにサイトを追加しようとしているキャッチ：

このコードは、pki以外のSharePointサーバーを処理している場合は正常に機能しますが、エラーが発生します。

" https：// server / sites / newSiteのWebアプリケーションが見つかりませんでした。URLを正しく入力したことを確認してください。URLが既存のコンテンツを提供する必要がある場合、システム管理者は新しいリクエストURLマッピングをに追加する必要があります。意図したアプリケーション。」

私の主な質問は、PKIが有効になっているSharePointサイトにC＃でアクセスするにはどうすればよいですか？プログラムで証明書をどこかに挿入する必要がありますか、それとも何ですか？

SPSiteを開く前の手順はありますか、それともPKIに適した他のオブジェクトを使用する必要がありますか？