Порядковый номер сертификата X.509
Я программирую Центр сертификации в Java для uni класса, теперь я не знаю то, что является наилучшим вариантом для порядкового номера Сертификата.
- Простой статический счетчик от 0 до veryBigNumber
- некоторое огромное случайное число BigInt
Есть ли какое-либо серьезное основание для выбора того по другой... или ни один из них??
спасибо,
5 ответов
Я бы порекомендовал использовать случайное число, но держать список тех Выпущенные серийные номера в базе данных. Это позволит две вещи.
- Вы никогда не переиздаете тот же серийный номер.
- Вы можете сказать из серийного номера сертификата, если он даже удаленно действителен.
Конечно, Конечно, требуется, чтобы вы проверили по известным списке по генерации и созданию нового случайного числа, если столкновение происходит, а № 2 не большая часть чего-либо с точки зрения безопасности или проверки, но интересная перспектива менее.
Технически противоречит от 0 до очень проще, чем Bigrandomnumber - потому что серийные номера должны быть разными.
Однако - вы, возможно, не захотите использовать простой счетчик, если вы заботитесь о людях, зная, сколько вы выдали сертификаты.
Основное требование заключается в том, что пара (выделенное имя эмитента, серийный номер) должно быть уникальным во вселенной. Поэтому вы не должны использовать случайное число, если не настолько большая, что вероятность повторения незначительна. 20 байтового случайного числа должно быть более чем адекватным. Простой счетчик совершенно нормально, если вы не возражаете против других людей, зная, сколько вы выпустили сертификаты.
Относительно недавние атаки на эмитенты сертификатов SSL (Алексей Сотирова и др. Аль), которые использовали слабость в MD5, фактически сделали еще проще с использованием последовательных чисел контр-типа. Случайные серийные номера не атаковали. Это не означает, что предсказуемые серийные номера являются плохой безопасностью, это просто означает, что для этого приложения случайные серийные номера могут помочь маскировать слабые стороны в MD5. Координальная проблема была еще MD5.
Я думаю, что если мы рассмотрим слово Serial Ответ неявен .... Серийный, серии, прогрессирование и т. Д.
Это зависит от того, на что вы используете серийный номер для. Если вы небольшая компания, и если вы планируете придать один сертификат на клиента, то ваш серийный номер покажет, сколько у вас есть клиентов.
Другое, что я не понимаю причин, по которой серийный номер не должен быть серийным. Некоторые люди утверждают, что использование серийных чисел отдаст некоторую информацию (следующий серийный номер) потенциальному злоумышленству, но я не думаю, что это большой вопрос.