search

bcrypto / bpki

A public key infrastructure profile
8 stars 0 forks source link

Порядок id-атрибутов в Name #32

Closed bcryptobot closed 5 years ago

bcryptobot commented 6 years ago

Слишком жёсткий порядок атрибутов в типе 'Name'. Многие действующие сертификаты станут недействительными только из-за другого порядка этих атрибутов. Изменить требования к порядку атрибутов.

agievich commented 6 years ago

Во-первых, действующие сертификаты заведомо не соответствуют BPKI.

Во-вторых, жесткий порядок атрибутов вызван необходимостью соответствия СТБ 34.101.19 (п. 9.1) в части процедур сравнения имен. Дело в том, что любая перестановка атрибутов (например, givenName и surname) изменяет (!) имя: речь идет о двух разных субъектах.

Жесткий порядок позволит не запутаться в именах.

agievich commented 6 years ago

Отклонено. Остается добавить, что жесткий порядок упростит работу клиентов TLS, которые в сообщении CertificateRequest получают от серверов список уникальных имен признаваемых удостоверяющих центров. Имена кодируются по правилам DER. Естественно, что изменение порядка id-атрибутов изменит имя. Если не зафиксировать порядок, то клиентам придется (в общем случае) выполнять перестановки атрибутов.

andrewkostevich commented 5 years ago

Странный порядок атрибутов: упорядочены по OID, в то время как Name является именем X.501: в X.501 атрибуты должны быть организованы иерархически для эффективного поиска в дереве объектов - страна, город, организация, подразделение, ... CN.

Варианты иерархического порядка атрибутов для ФЛ :

или

agievich commented 5 years ago

Странный порядок атрибутов: упорядочены по OID, в то время как Name является именем X.501: в X.501 атрибуты должны быть организованы иерархически для эффективного поиска в дереве объектов - страна, город, организация, подразделение, ... CN.

Замечание требует пояснений. Почему "должны быть организованы иерархически"? Разве есть требования по этому поводу в стандартах X.509? Как перестановка полей в Name повышает эффективность поиска? Если "должны быть", то почему приводятся два разных варианта упорядочения? Какой из этих вариантов правильный с точки зрения "должны быть"? Что делать с другими ролями субъектов? Для них вводить собственные варианты упорядочения?

Еще раз повторю, что мы находимся в той фазе, когда разговоры в духе "мне это не нравится" неприемлемы. Должны быть конкретные предложения, желательно оформленные в виде PR.

agievich commented 5 years ago

Предложение недостаточно проработано. Закрывается.