search

bcrypto / bpki

A public key infrastructure profile
8 stars 0 forks source link

AuthorityKeyIdentifier в сертификате КУЦ #22

Closed agievich closed 6 years ago

agievich commented 6 years ago

Нужно ли включать расширение AuthorityKeyIdentifier в сертификат КУЦ? Считаю, что не нужно. Ведь у КУЦ нет "authority" (эмитента).

Для справки. Расширение не включается в корневые сертификаты американской FPKI.

pavlovkv commented 6 years ago

КУЦ является сам для себя эмитентом. На мой взгляд все логично.

Многие другие PKI включают в корневой сертификат данное расширение.

agievich commented 6 years ago
  1. Да, AKID в корневые сертификаты включается примерно (весьма весьма) в половине случаев.
  2. Против AKID: неинформативное дублирование информации в сертификате (>= 31 лишний октет).
  3. За AKID:
    • равенство SKID = AKID можно использовать как признак того, что сертификат является самоподписанным (self-signed);
    • при переходе на новый корневый сертификат (self-issued) в AKID можно хранить ссылку на предыдущий сертификат.
  4. В СТБ 34.101.19 (п. 6.2.1.1) сказано, что AKID может не включаться в сертификаты только в одном случае: когда речь идет о самоподписанном сертификате.

С учетом сказанного, реализована следующая компромиссная логика:

  1. AKID опускается в самоподписанных сертификатах (экономия довольно дорогой памяти для точек доверия).
  2. AKID обязательно включается в самоизданные сертификаты КУЦ (поддержка связывания при rollover).