Mecanismo de certificado dual
¿Qué son los certificados únicos y los certificados duales?
Certificado único:
Los usuarios utilizan un certificado único y su correspondiente clave privada para las operaciones de firma y cifrado.
Al firmar, el usuario A usa su propia clave privada para cifrar el resumen (firma) de la información, y el usuario B usa la clave pública de A para descifrarlo y compara si el resumen es correcto. Entonces B ha determinado que la identidad de A, es decir, la verificación de la firma fue exitosa.
Al cifrar, el usuario A utiliza la clave pública de B para cifrar la información y transferirla a B, y B utiliza su propia clave privada para descifrar y obtener la información.
Certificado dual:
Incluye certificado de firma y certificado de cifrado.
El certificado de firma se utiliza al firmar y solo se utiliza para verificar la identidad. Su clave pública y clave privada son generadas por el propio A y las conserva la CA no es responsable de sus tareas de custodia.
El certificado de cifrado se utiliza al transmitir datos cifrados. Su clave privada y su clave pública son generadas por la CA y guardadas por la CA (stub).
Dado que un único certificado puede manejarlo todo, ¿por qué utilizar certificados duales?
Lógicamente:
Si se pierde la clave privada de firma, no tendrá mucho impacto si el usuario genera otro par, por lo que no es necesario entregar la clave de firma al CA;
Si se pierde la clave de cifrado, no podré descifrar la información enviada por otros y debo obtener el código auxiliar de la CA.
Para un certificado único, si se pierde la clave privada, ¿cómo se recupera la información que obtuvo antes?
Por lo tanto, lógicamente hablando, las dos claves tienen propiedades diferentes y deben procesarse lógicamente por separado.
En términos de seguridad:
Un certificado único aumenta el riesgo de falsificación de firmas de usuarios
Voluntad nacional:
El país debe garantizar lo necesario A veces tiene la capacidad de monitorear ciertas comunicaciones. Si usa un solo certificado, nadie, excepto usted, puede descifrarlo (teóricamente), lo que no favorece la seguridad nacional. Por tanto, las leyes de muchos países exigen el uso de certificados duales.
Proceso de emisión de certificado dual:
Aunque se trata de una clave dual y un certificado dual, desde la perspectiva del proceso, se puede completar en un solo paso.
1. El usuario genera un par de claves de firma y envía una solicitud de certificado a RA/CA (la solicitud contiene una clave pública)
2. RA/CA solicita la clave de cifrado a KMC Sí
3. Emitir dos certificados y enviarlos al usuario junto con la clave de cifrado (cifrada mediante el certificado de firma)
4. El usuario utiliza su propia firma privada clave para descifrar y obtiene dos certificados Certificado + clave de cifrado.