जीएनयूपीजी/पीजीपी और एसएसएल: एक ही निजी कुंजी साझा करना?

मैं डिजिटल हस्ताक्षर और एन्क्रिप्शन के अपने उपयोग को हल करने की कोशिश कर रहा हूं। मैं समझता हूं कि ऐसा करने के 2 मुख्य तरीके हैं: पीजीपी रास्ता और एसएसएल तरीका।जीएनयूपीजी/पीजीपी और एसएसएल: एक ही निजी कुंजी साझा करना?

मैं क्या जानना चाहता हूं कि एसएसएल प्रमाणपत्र और जीएनयूपीजी दोनों के लिए एक ही निजी कुंजी का उपयोग करना संभव है, यह प्रदान करना कि यह एक आरएसए 2048 बिट कुंजी है।

मेरे पास पहले से ही एक सीए द्वारा हस्ताक्षरित एक SSL प्रमाणपत्र है, इसलिए मैं उस प्रमाणपत्र की निजी कुंजी को जीएनयूपीजी मास्टर निजी कुंजी के रूप में उपयोग करने की उम्मीद कर रहा था।

मुझे पता है कि हम एसएसएल और GnuPG इस तरह के बीच दावे नहीं कर सकता, लेकिन मैं केवल एक निजी कुंजी चाहते हैं

धन्यवाद (इस प्रकार केवल डेटा के एक टुकड़े की रक्षा के लिए होने)

स्रोत

2012-03-07 Pedro

प्रमाणपत्र "एसएसएल प्रमाण पत्र" नहीं हैं और एसएसएल के साथ कुछ लेना देना नहीं है (हालांकि इन्हें एसएसएल के साथ-साथ ओपनपीजीपी कुंजी में भी इस्तेमाल किया जा सकता है)। –

_idea of_ के रूप में अच्छा है "ध्वनि की रक्षा करने के लिए केवल एक निजी कुंजी" है, आप वास्तव में "अपने टोकरी को कई टोकरी में डाल रहे हैं" ताकि आप बोल सकें (अनावश्यक रूप से): यदि आपका वेब सर्वर हैक हो जाता है, तो अब आपका पवित्र पीजीपी कुंजी फट गया है! और यदि आपका लैपटॉप चोरी/क्रैक हो जाता है, तो अब आपके पास एक कुंजी है जिसे आपकी वेबसाइट एमआईटीएम में आसानी से उपयोग किया जा सकता है! कर्तव्यों को अलग करने के लिए बेहतर है। – JamesTheAwesomeDude

आप यह कर सकते हैं, लेकिन यह आवश्यक रूप से अच्छा अभ्यास नहीं है।

सबसे पहले, जब आप "एसएसएल प्रमाणपत्र" कहते हैं, तो संभवतः आप "X.50 9 प्रमाणपत्र" का अर्थ लेंगे। एसएसएल/टीएलएस अधिकांश समय X.50 9 प्रमाण पत्र का उपयोग करता है, लेकिन यह OpenPGP certificates का उपयोग भी कर सकता है (जहां तक मुझे पता है, केवल जीएनयूटीएलएस उनका समर्थन करता है)।

ध्यान दें कि मैं "ओपनपीजीपी प्रमाणपत्र" अभिव्यक्ति का भी उपयोग कर रहा हूं। अधिकांश लोग उन्हें "(ओपन) पीजीपी पब्लिक चाबियाँ कहते हैं, लेकिन वे वास्तव में प्रमाण पत्र हैं: वे एक सार्वजनिक कुंजी, एक पहचानकर्ता और कुछ विशेषताओं का संयोजन हैं, जो अन्य संस्थाओं द्वारा हस्ताक्षरित हैं, जो उनके हस्ताक्षर को संलग्न करते हैं, ताकि समग्र प्रमाणपत्र बनाओ। कड़ाई से बोलते हुए, यह सिर्फ एक सार्वजनिक कुंजी नहीं है।

एक्स.50 9 प्रमाणपत्र और पीजीपी प्रमाण पत्र के बीच मुख्य अंतर यह है कि X.50 9 में केवल एक हस्ताक्षर (जारीकर्ता का) हो सकता है, जबकि एकाधिक हस्ताक्षर पीजीपी प्रमाण पत्र में जोड़े जा सकते हैं। (पीजीपी मॉडल का उपयोग पदानुक्रमित पीकेआई-जैसे मॉडल के लिए किया जा सकता है, जबकि पीकेआई मॉडल का उपयोग वेब-ऑफ-ट्रस्ट मॉडल को संभालने के लिए नहीं किया जा सकता है।)

This Java code दर्शाता है कि पीजीपी के एक सेट को "रूपांतरित" कैसे करें एक स्व-हस्ताक्षरित X.50 9 प्रमाणपत्र में कुंजी। सिद्धांत रूप में, आप सीए से एक्स.50 9 प्रमाण पत्र प्राप्त करने के लिए इसे सीएसआर में भी बदल सकते हैं। चाहे ऐसा करना एक अच्छा विचार है, एक अलग मामला है।

सबसे पहले, आमतौर पर थोड़ी देर में नए कुंजी जोड़े को पुन: उत्पन्न करना एक अच्छा विचार है। आम तौर पर, एसएसएल के लिए उपयोग किए गए X.50 9 प्रमाण पत्रों में से एक कारण वैधता दिनांक का अंत है (पीजीपी हस्ताक्षर भी समय पर सीमित हो सकते हैं)।

आप अपने सभी अंडों को उसी टोकरी में प्रभावी रूप से भी डाल देंगे। यदि किसी कुंजी से समझौता किया गया है, तो आपके X.50 9 और पीजीपी प्रमाण पत्र दोनों से समझौता किया जाएगा।

अधिक महत्वपूर्ण बात यह है कि it's considered bad practice to re-use the same keys for signing and encryption: दो अलग-अलग अनुप्रयोगों (एसएसएल/टीएलएस और जीएनयूपीजी) के लिए उनका उपयोग केवल समस्या को और खराब कर देगा।

स्रोत

2012-03-07 11:19:19 Bruno

धन्यवाद, अब यह समझ में आता है। और हाँ, मैं वास्तव में एक सुरक्षा विशेषज्ञ नहीं हूं, इसलिए मैं अभी तक सभी शर्तों (एसएसएल, पीजीपी, कुंजी, एक्स.50 9) से परिचित नहीं हूं। – Pedro

बस एक नोट: हमारे सिक्योरब्लैकबॉक्स एसएसएल/टीएलएस में ओपनपीजीपी कुंजी का भी समर्थन करता है। –

मैं इस दृष्टिकोण को भी आजमा रहा हूं और यह सत्यापित करना असंभव लगता है कि एक स्व-हस्ताक्षरित एक्स।50 9 प्रमाणपत्र एक विशिष्ट ओपनपीजीपी कुंजी से जुड़ा हुआ है (हस्ताक्षरित)। मैं उसको कैसे करू? यहां सवाल है: http://stackoverflow.com/q/19678786/1045199 –

जीएनयूपीजी/पीजीपी और एसएसएल: एक ही निजी कुंजी साझा करना?

उत्तर

संबंधित मुद्दे