Closed agievich closed 6 years ago
В случае с конвертованными данными, на мой взгляд, нет необходимости использовать более тяжеловесный issuerAndSerialNumber, поскольку если же и произойдет коллизия в skid, то пользователь просто не сможет расшифровать данные. Никакой опасности. В случае с подписью это может привести к тому, что подпись можно воспринять как невалидную.
За SKID:
Против:
Все-таки я против. SKID желательно не использовать без большой необходимости.
И еще одна проблема со SKID: если в нескольких сертификатах указаны одинаковые ок, то по SKID нельзя понять, о каком сертификате идет речь (именно поэтому вводится альтернативная идентификация сертификата через SigningCertificate
, см. https://github.com/bcrypto/stb/issues/1).
Решение -- отказ от SKID:
issueAndSerialNumber
.openssl cms -encrypt
исключен флаг -keyid
.
В
EnvelopedData
субъект сертификата идентифицируется через SKID. В большинстве (во всех?) остальных случаях для идентификации используется пара (issuer
,serialNumber
). Почему не сделать единообразно?