agievich
commented
6 years ago Я против:
- EncryptedPrivateKeyInfo не содержит незашифрованных данных. Только зашифрованные + описание алгоритма шифрования.
- Указывать SKID вместе с личным ключом нецелесообразно в силу многообразия способов вычисления SKID (sha1 vs belt-hash).
- Связывание личного ключа с открытым (или даже с сертификатом открытого ключа) целесообразно выполнять за пределами EncryptedPrivateKeyInfo, например, в контейнерах, определенных в PKCS#12 (СТБ 34.101.18).
Добавить в схему типа
EncryptedPrivateKeyInfoопциональный элементpublicKeyId ОСТЕТ STRING[32|20] OPTIONALзначение которого равно значениюSubjectKeyIdentifierиз парного личному ключу сертификата. Этот элемент необходим для поиска ключевого контейнера,парного заданному сертификату, (и контейнеров частичных секретов, соответствующих данному ключевому контейнеру) без расшифрования контейнера(ов). Также этот элемент важен для перечисления сертификатов, парных ключевым контейнерам, содержащимся в некотором хранилище (устройстве).