我有一个使用 2 类数字证书来下载一些文件的应用程序。我知道这不是一个好主意,但应用程序会自动处理密码的输入。
现在一个新客户想要这个应用程序,但他们不想给我密码,因为他们害怕我可以用他们的证书+密码做任何事情。
有什么办法可以:
- 使用证书下载文件而无需知道密码。
或者
- 获取第二个证书,它只能让我从某个 URL 下载文件。
任何有关这些主题的帮助将不胜感激!
问问题
92 次
1 回答
1
使用证书下载文件而无需知道密码。
不可能的。密码用于加密私钥材料。由于不知道密码,不知道私钥,因此无法使用证书进行身份验证。
但是,请注意,密码的熵比密钥少得多。如果您的客户没有想到一个好的密码,那么通过蛮力猜测它可能相对容易。该网站声称您每天可以进行大约 3000 万次密码尝试。然后,假设密码为 28 字节的熵(即 2^28 种组合),您可以在一两周内猜出密码。
获取第二个证书,它只能让我从某个 URL 下载文件。
这部分问题取决于服务器接受哪些证书......
于 2013-03-26T14:55:08.850 回答