【发布时间】:2013-08-16 15:45:21
【问题描述】:
最近有人讨论了秘密服务机构是否可以访问认证机构。在此之前,一些 CA 面临着被黑客攻击的安全问题。
鉴于此,我想知道 S/MIME 是否仍然可以被认为是安全的,因为相同的 CA 会生成私钥。
【问题讨论】:
-
这个问题似乎是题外话,因为它与编程无关。此外它已经被转发到crypto.stackexchange.com/questions/10232/…
标签: smime
【发布时间】:2013-08-16 15:45:21
【问题描述】:
S/MIME、SSL 和任何其他基于公钥加密的技术目前与您信任的证书列表一样安全。一直如此,并且一直如此,直到计算能力达到能够暴力破解其背后的算法的程度。
如果他们做对了,CA 永远不会看到您的私钥。您应该在您的机器上生成一个密钥对,然后将公共部分发送给 CA。 CA 发回公共部分(证书)的签名副本。私钥应该永远离开您的机器。
破坏 CA 允许攻击者签署任意公钥。由于证书包含诸如人类可读名称之类的内容,这将允许某人通过创建带有您的姓名的证书来假装是您。但是,他们仍然没有您的私钥,因此这不允许他们解密发送给您的任何内容。
【讨论】:
-
假设我使用 CA 的 webintetface 创建了一个 S/MIME 密钥。如果此 CA 被某个机构渗透,该机构将有权访问我的私钥,并可以解密使用此密钥加密的电子邮件。还是我错过了什么?
-
没有。查看更新的答案。
-
你好 Dark Falcon,感谢您的更新。为什么他们无权访问私钥?我这样理解,与 S/MIME 的 PGP(在自己的计算机上生成私钥)不同,私钥是由 CA 生成的(在我填写 Web 表单并按 OK 后,他们会向我发送一封电子邮件下载私钥的链接);意味着,私人与 CA,因此也与机构?
-
“S/MIME(安全/多用途 Internet 邮件扩展)是公钥加密和 MIME 数据签名的标准。”它不是一个单一的供应商。如果 CA 要求您在他们的站点上生成密钥,请不要使用该 CA,因为他们显然不了解系统是如何工作的。他们应该绝不随时拥有您的私钥。
-
您好 Dark Falcon,再次感谢您的回答。那么 S/MIME normallay 的私有是如何生成的?它是由自己计算机上的工具生成的吗?如果是这样,那是什么工具?例如,当使用 Comodo 的免费证书时,它们会为您生成密钥(如上所述)。