问题标签 [pki]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
11174 浏览

security - PKI 多个公钥

我想知道我是否可以有多个公钥作为私钥。

这可以做到吗?如果是这样,安全问题是什么!?

如果我根据相同的初始值(没有初始向量)生成多个密钥对,这些密钥不应该是“兼容的”吗?

0 投票
2 回答
1240 浏览

java - 从 DEROctetString 到 KeyUsage

bouncycastle 中,我可以从 KeyUsage 开始创建一个 DEROctetString。

那么如何从 DEROctetString 获取 KeyUsage 呢?

例子:

我需要这个,因为我能够使用 KeyUsage 扩展请求创建证书请求,但是,仅考虑到证书请求,我无法取回 KeyUsage 扩展。

0 投票
4 回答
5850 浏览

python - 在 Python 中生成 CSR

我正在尝试在不使用 OpenSSL 的情况下在 Python 中生成 CSR。如果有人能指出正确的方向,我将不胜感激。

0 投票
1 回答
695 浏览

iphone - iPhone 是否提供了良好的加密 API/服务提供者?

Apple 为 iPhone 操作系统提供的加密选项有多广泛?它有公钥基础设施支持吗?第三方应用程序可以利用密钥库(或者我猜是钥匙串)吗?他们是否能够在那里提取/存储私钥?对 LDAP 拉取用户公共证书的支持如何?

0 投票
2 回答
11720 浏览

c# - BouncyCastle 从现有密钥创建 AsymmetricCipherKeyPair?

我从密钥库中的证书中提取了两个AssymetricAlgorithmRSA 密钥。一个是公钥,另一个是私钥。有没有办法将此密钥对放入 BouncyCastle AsymmetricCipherKeyPair?BouncyCastleAsymmetricCipherKeyPair需要一个公共和私有的,AsymmetricKeyParameter但是如果没有它的实例,我无法获得我的私钥AssymetricAlgorithm

0 投票
1 回答
421 浏览

ruby-on-rails - Apache/Rails:转发 PKI

我有一个托管数据服务的 Linux/Apache/Rails 堆栈。数据服务基本上是多个数据源的前端,类似于联合搜索。

对服务的查询通过 PKI 进行身份验证。在处理每个请求时,必须将 PKI 转发到适合给定请求的每个数据源 - 每个数据源都使用 PKI 来控制数据访问。

我知道如何从 Rails 访问请求者的 DN,但我不知道如何访问 PKI 或在处理请求时控制器启动的 Web 请求中传递它。有什么建议么?

0 投票
1 回答
236 浏览

winapi - 使用 PKI 进行轻量级文件验证

我正在尝试扩展在线游戏的遗留代码,以合理保证与游戏相关的资源文件是最新版本,并且没有被篡改。我想在没有 DRM、不进入内核模式和没有硬件帮助的情况下执行此操作。理想情况下,我最终决定的应该是与用户空间一样安全。如果他们能绕过这些机制,那么我会说他们已经获得了调皮的权利——至少在一段时间内,然后我们禁止他们。:)

显而易见的做法是获取每个文件的加密哈希,并将哈希输出与预先计算的哈希进行比较。但必须注意确保用户不能轻易篡改用于与当前计算的哈希进行比较的预先计算的哈希。以下是我在架构层面考虑的措施:

  1. 使用操作系统工具在进程启动时锁定所有资源文件以进行写入,因此没有其他进程可以在事后覆盖这些文件。
  2. 计算每个资源文件的 MD5 和。
  3. 连接到 https 服务器,需要针对存储在客户端可执行文件中的特定签名证书进行验证。
  4. 通过 https 下载包含“正确”哈希的文件,将其存储在 RAM 中(而不是磁盘)。
  5. 将计算的哈希值与通过 https 接收的哈希值进行比较。
  6. 如果哈希不匹配则退出。

这比在客户端存储哈希值更安全,因为只要它们存储在客户端,通常有人可以修改它们。使用此方案,攻击者必须弄清楚如何以更改嵌入式公共证书的方式修改可执行文件,以便它实际上包含攻击者的证书,该证书会针对攻击者的 https Web 服务器进行验证,该服务器包含与攻击者匹配的中毒散列篡改的资源文件。这当然是可行的,但比程序使用存储在客户端上的预计算密钥要困难得多,对吧?

可执行文件是本机代码,因此可以将其包装在打包程序中,这使得编辑二进制文件和替换公钥变得更加困难。

现在,尽管我刚刚在两段前描述了如何潜在地攻击我设计的方案:除了我所描述的之外,还有其他方法可以攻击这个方案吗?

我的第二个问题是,什么是可以从 Win32 C++(Visual Studio 2010 编译器)调用以完成这些任务的免费(如免费软件或自由)库?它们可以通过内置的 Windows API 完成还是需要第三方解决方案?

总而言之,问题是: 1. 我建议的方案是否足够强大,足以让大多数脚本小子感到困惑?和 2. 我将使用哪些依赖项或库来实现它?

由于这只是一个游戏,而不是国家安全甚至金钱风险的问题(游戏是 100% 免费软件,没有游戏内经济),我实施的解决方案应该是相当不错的,但它不一定是工业的-力量。

如果您认为合适,请随意回答我的问题的一个或两个部分,如果您认为我一开始就问错了问题,请纠正我。

谢谢!

0 投票
2 回答
4232 浏览

certificate - X509 证书是否应该设置 nonRepudiation 位来检查 PKCS7 签名?

X509 证书具有一组 keyUsage 位。其中两个是 digitalSignature
nonRepudiation(X.509 的最新版本已将此位重命名为 contentCommitment)。

我阅读了 X509 RFC ( https://www.rfc-editor.org/rfc/rfc5280 ),它谈到了这些位的一般用法。

我阅读了 PKCS7 RFC ( https://www.rfc-editor.org/rfc/rfc2315 ),它谈到了 PKCS7 结构等等,并没有指定需要设置哪些位。

是否有任何 RFC 或其他规范来确定是否应该设置其中一个或两个?

问候,维克多

0 投票
2 回答
1280 浏览

sharepoint - Infopath 表单路由如何工作(即费用批准表单)?是否需要 PKI?

我不了解整个 InfoPath 产品的工作原理。我知道它可以将数据保存到 Sharepoint。但这里有一些我很困惑的信息:

如果有人将 Infopath 表单保存到 SPS,是保存整个表单还是仅保存数据?

审批方案如何运作?

我的雇主希望为每个表格使用尽可能少的代码。他们目前使用的 PKI 要求最终用户提交表单(到 Access DB),签署表单,然后保存表单。我知道这并不理想,但我没有足够的背景来告诉他们该怎么做。

0 投票
1 回答
398 浏览

c# - 以编程方式访问 PKI 共享点门户

我在做一些简单的事情时遇到了麻烦,如下所示

但是我试图将站点添加到启用 PKI 的共享点站点的问题:

当我处理我的非 pki 共享点服务器时,此代码工作正常,但出现错误:

" 找不到位于https://server/sites/newSite的 Web 应用程序。验证您是否正确键入了 URL。如果该 URL 应该提供现有内容,系统管理员可能需要添加一个新的请求 URL 映射到预期的应用程序。”

我的主要问题是:您如何使用 C# 访问启用 PKI 的共享点站点?我需要以编程方式在某处插入我的证书还是什么?

在我打开 SPSite 之前是否有步骤,或者是否需要使用其他对 PKI 更友好的对象?