En caso certificado X509 tener el bit de no repudio para comprobar PKCS7 firma?

Question

certificado

X509 ha establecido de bits keyUsage. Dos de ellos son digitalSignature
No rechazo (las últimas ediciones de X.509 han cambiado el nombre de este bit a contentCommitment).

He leído X509 RFC ( http://tools.ietf.org/html/rfc5280) y se refiere a la utilización general de estos bits.

Y leí PKCS7 RFC ( http://tools.ietf.org/html/rfc2315) y se refiere a la estructura PKCS7 y así sucesivamente y no especifica qué bits de necesidades que se establezcan.

¿Hay alguna RFC u otra especificación, que identifica si uno o ambos de ellos debe ser el set?

Saludos, Victor

Answer 1

A PKCS # 7 archivo contiene generalmente una cadena de certificados. Es decir, un certificado de entidad emisora ??raíz, los certificados de CA intermedios que se aplican, y entonces el certificado de punto final (SSL, correo electrónico, etc.) Un PKCS # 7 se suele utilizar para agrupar estas arriba en un solo archivo. Es útil, en el que se puede importar toda la cadena a la vez en un almacén de claves u otra aplicación de confianza.

En cuanto a los bits de utilización de claves, los que se establecen en función de las necesidades y el propósito de un certificado determinado. Por ejemplo, un certificado de entidad emisora ??raíz tendría típicamente tanto la firma digital y el conjunto no repudio. Para un certificado SSL, es posible que el cifrado y clave de firma digital. En realidad no hay correlación entre el uso de claves PKCS # 7 y archivos, a menos que estés hablando de la CA certificados contenidos en el archivo PKCS # 7.

Answer 2

Por cierto, este bit viola la separación de las preocupaciones en su diseño. No repudio es una serie de cuestiones legales negociados en el nivel de negocios. El uso de la broca en el nivel de certificado / firma es irrelevante. Véase, por ejemplo http://www-personal.umich.edu/~lsiden /tutorials/signed-applet/ShockingTruth.html