X509 인증서, DigitalSignature vs Nonrepudiation (C#)

Question

우리는 PKI를 사용하여 XML 메시지를 서명 해야하는 솔루션을 개발하기 위해 스마트 카드에 대한 일련의 테스트 세트를 받았습니다. 각 (물리적) 스마트 카드에는 두 개의 인증서가 저장된 것 같습니다. 스마트 카드 제공 업체가 제공하는 소프트웨어를 사용하여 Windows 인증서 저장소로 가져온 다음 다음과 비슷한 코드를 사용하여 설치된 인증서를 반복합니다.

foreach (X509Certificate2 x509 in CertStore.Certificates) {
  foreach (X509Extension extension in x509.Extensions) {
     if (extension.Oid.Value == "one we are interested in") {
        X509KeyUsageExtension ext = (X509KeyUsageExtension)extension;
        if ((ext.KeyUsages & X509KeyUsageFlags.DigitalSignature) != X509KeyUsageFlags.None) {
            // process certs here

XMLS에 서명하기 위해 비교 비교 키 사용 플래그가 설정된 인증서를 사용하라는 지시를 받았습니다. 그러나 비 반복 플래그가있는 인증서에는이 깃발이 있습니다. 뿐, 예를 들어 위에서 확인한 DigitalSignature 플래그가 아닙니다. 이것이 나 외에는 누군가가 약간 이상하게 공격합니까? 다시 말해서 DigitalSignature 사용 플래그 세트가없는 인증서와 함께 서명하라는 지시를 받았습니다. 이 정상적인 절차입니까? 다른하실 말씀 있나요?

감사.

Answer 1

어떤 주요 용도가 있습니까? 예를 들어 키가 광고 로그인을 제공하는 데 사용 된 경우 DigitalSignature 사용을위한 플래그가없는 경우 키가 약간 이상합니다. 그것은 당신이 그것을 사용할 수 없다고 말하는 것이 아니라, 인증서 발행자가 키의 표시된 사용법을 벗어나면 보증을 제공하지 않음을 나타냅니다.

Answer 2

내가 읽은대로 RFC 5280 (4.2.1.3), 비 반복은 Digitalsignature의 대체 세트입니다. 다시 말해서, 그것은 디지털 서명의 모든 능력과 일부를 부여한 다음 일부는 부여합니다. 기술적으로, 그들이 요구하는 것은 아마도 드문 일이지만 유효합니다.

Answer 3

비 반복 서비스를 제공하려면, 즉 서명이 법적 가치를 갖기를 원하는 경우, 비 반복 만 사용해야합니다. 실제로, 이는 비교와 함께 다른 키 우스 비트를 사용하지 않으면 보안 문제가있을 수 있으므로 표준 (ETSI TS 102 280 참조)에 의해 권장됩니다 (ETSI TS 102 280 참조).