|
| Småproblemer med key auth/certifikater - m~ Fra : Stig Johansen |
Dato : 03-08-05 06:55 |
|
Hej alle.
Jeg sidder og fedter lidt med nogle tanker om at bruge OCES certifikater til
subj.
Når vi snakker linux - linux, så har jeg fået det til at virke.
På windows siden, vil jeg gerne bruge cryptlib, men ham der har lavet det
har åbenbart set sig total ond på PKCS#12:
fra FAQ:
........
This format has had some serious security problems, as well as being a very
poorly-designed format for storing keys. Because of these security
concerns, cryptlib will not import or export its keys to files in this
format since it in effect constitutes a security compromise of the private
key. Instead, it uses the PKCS #15 format, which is an enhanced key and
certificate storage format without the problems of PKCS #12.
........
Samt fra noget source:
.......
/* This code is based on breakms.c, which breaks the encryption of several
of
MS's extremely broken PKCS #12 implementations. Because of the security
problems associated with key files produced by MS software and the fact
that this format is commonly used to spray private keys around without
any
regard to their sensitivity, cryptlib doesn't support it. As one vendor
who shall remain anonymous put it, "We don't want to put our keys
anywhere
where MS software can get to them" */
........
Ok, fred med det, men problemet er, at man har valgt PKCS#12 til OCES, og
uden at kende detaljer, ser det ud til, at det er udbredt. Jeg blev f.eks.
lidt overrasket ovet, at min Konqueror kun kan im-og exportere PKCS#12.
Det, jeg er ude efter, som det måske fremgår af ovenstående, er kort og
godt:
Hvordan f*nden får jeg lavet en PKCS#15 - /fil/ ud fra et PKCS#12 cert?
Jeg har fremhævet fil, fordi jeg ikke har noget security token.
Jeg har kigget på pkcs15-tool, men jeg synes ikke rigtig, jeg kan se lyset.
Hvis jeg alligevel skal have fat i en eller anden device, synes jeg heller
ikke jeg kan se om pkcs15-tool kan dumpe til en fil. Kan den det?
Jeg har googlet, og eksperimenteret en del de sidste dage, så det er muligt
jeg er træt, og overser det åbenlyse.
Men lige nu føler jeg mig sumpet ind i inkompatibilitet og religionskrige.
Så - er der nogen, der kan lede mig på rette vej?
--
Med venlig hilsen
Stig Johansen
| |
Asbjorn Hojmark (03-08-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 03-08-05 10:03 |
|
On Wed, 03 Aug 2005 07:55:21 +0200, Stig Johansen
<stig_johansen_it_at_=(@)hotmail.com> wrote:
> Hvordan f*nden får jeg lavet en PKCS#15 - /fil/ ud fra et PKCS#12 cert?
Ka' du ikke eksportere certifikat og nøgle til separate filer med
pkcs15-værktøjerne ?
Man kan i hvert fald bruge OpenSSL til at lave en PKCS12-fil, hvis
man har certifikat og nøgle som separate filer. Det er en ret simpel
process.
-A
--
http://www.hojmark.org/
| |
Alex Holst (03-08-2005)
| Kommentar Fra : Alex Holst |
Dato : 03-08-05 11:51 |
|
Asbjorn Hojmark wrote:
> Man kan i hvert fald bruge OpenSSL til at lave en PKCS12-fil, hvis
> man har certifikat og nøgle som separate filer. Det er en ret simpel
> process.
TinyCA kan bruges som grafisk front-end til OpenSSL hvis man synes
kommandointerfacet er for langhåret.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Stig Johansen (04-08-2005)
| Kommentar Fra : Stig Johansen |
Dato : 04-08-05 04:40 |
|
Alex Holst wrote:
> Asbjorn Hojmark wrote:
>> Man kan i hvert fald bruge OpenSSL til at lave en PKCS12-fil, hvis
>> man har certifikat og nøgle som separate filer. Det er en ret simpel
>> process.
>
> TinyCA kan bruges som grafisk front-end til OpenSSL hvis man synes
> kommandointerfacet er for langhåret.
Tak for svarene begge to.
Jeg tror ikke jeg fik formuleret mig klart nok, så jeg prøver lige igen.
Udgangspunktet er, at jeg har et PKCS#12, i det her tilfælde bruger jeg et
testcertifikat fra TDC:
< http://www.certifikat.dk/developer/storage/>
hmm.. sådan så siden ikke ud for et par dage siden.
På linux bruger jeg hhv. OpenSSL og ssh-keygen til at skabe key
authentication, det virker fint.
På windows siden vil jeg gerne eksperimentere lidt med cryptlib, men den
eneste farbare vej, jeg umiddelbart kan se, er at benytte PKCS#15 som
input.
Det jeg er ude efter er:
PKCS#12 -> [Måske et eller andet] -> PKCS#15.
Det ser ud som om pkcs15-tool (-init) kan gøre det, men ikke rent
softwaremæssigt. Jeg har ikke umiddelbart lyst til at investere i noget HW,
da det i første omgang kun er noget POC.
--
Med venlig hilsen
Stig Johansen
| |
Asbjorn Hojmark (04-08-2005)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 04-08-05 22:43 |
|
On Thu, 04 Aug 2005 05:39:30 +0200, Stig Johansen
<stig_johansen_it_at_=(@)hotmail.com> wrote:
> Det jeg er ude efter er:
> PKCS#12 -> [Måske et eller andet] -> PKCS#15.
Brug først OpenSSL til at eksportere PKCS12-filen til separate key- og
cert-filer. Det er som sagt ret nemt.
Hvordan du derefter får lavet PKCS15-filen ved jeg ikke, men det burde
da være til at finde i dokumentationen, for det er fuldstændig basal
funktionalitet. (Givet, at det overhovedet er meningen med formatet,
at man skal kunne bruge det som alternativ til PKCS12).
-A
--
http://www.hojmark.org/
| |
|
|