Должен ли сертификат X509 иметь бит nonRepudiation для проверки подписи PKCS7?

Question

Сертификат X509 имеет набор битов keyUsage.Два из них - digitalSignature
nonRepudiation (последние выпуски X.509 переименовали этот бит в contentCommitment).

Я читаю X509 RFC (http://tools.ietf.org/html/rfc5280), и в нем говорится об общем использовании этих битов.

И я прочитал PKCS7 RFC (http://tools.ietf.org/html/rfc2315), и он говорит о структуре PKCS7 и т. Д. И не указывает, какие биты должны быть установлены.

Есть ли RFCили другая спецификация, которая определяет, должен ли быть установлен один или оба из них?

С уважением, Виктор

Answer 1

Файл PKCS # 7 обычно содержит цепочку сертификатов. То есть сертификат корневого ЦС, любые применяемые промежуточные сертификаты ЦС, а затем сертификат конечной точки (SSL, электронная почта и т. Д.). PKCS # 7 обычно используется для объединения их в один файл. Это полезно, поскольку вы можете импортировать всю цепочку сразу в хранилище ключей или другое проверяющее приложение.

Что касается битов использования ключа, они устанавливаются в зависимости от потребностей и цели конкретного сертификата. Например, сертификат корневого ЦС обычно должен иметь как цифровую подпись, так и набор безотказности. Для SSL-сертификата вы можете найти ключ шифрования и цифровую подпись. На самом деле нет никакой корреляции между использованием ключей и файлами PKCS # 7, если только вы не говорите о сертификатах CA, содержащихся в файле PKCS # 7.

Answer 2

Кстати, этот бит нарушает разделение интересов в его дизайне.Безотказность - это юридические вопросы, обсуждаемые на деловом уровне.Использование бита на уровне сертификата / подписи не имеет значения.См., Например, http://www -personal.umich.edu / ~ lsiden / руководства / подписанный апплет / ShockingTruth.html