1

我有一个使用 2 类数字证书来下载一些文件的应用程序。我知道这不是一个好主意,但应用程序会自动处理密码的输入。

现在一个新客户想要这个应用程序,但他们不想给我密码,因为他们害怕我可以用他们的证书+密码做任何事情。

有什么办法可以:

  • 使用证书下载文件而无需知道密码。

或者

  • 获取第二个证书,它只能让我从某个 URL 下载文件。

任何有关这些主题的帮助将不胜感激!

4

1 回答 1

1

使用证书下载文件而无需知道密码。

不可能的。密码用于加密私钥材料。由于不知道密码,不知道私钥,因此无法使用证书进行身份验证。

但是,请注意,密码的熵比密钥少得多。如果您的客户没有想到一个好的密码,那么通过蛮力猜测它可能相对容易。该网站声称您每天可以进行大约 3000 万次密码尝试。然后,假设密码为 28 字节的熵(即 2^28 种组合),您可以在一两周内猜出密码。

密码熵

获取第二个证书,它只能让我从某个 URL 下载文件。

这部分问题取决于服务器接受哪些证书......

于 2013-03-26T14:55:08.850 回答