我不理解某事。有一个概念叫做将CRL嵌入到pdf中,这样如果我的私钥被盗,我可以将其报告给CA,他们会在网站上更新他们的CRL。我一直在读,将CRL嵌入pdf的目的对于包含许多页面的pdf文件是有益的,这样pdf就不必上网查看每一页。那么,问题是,如果CRL嵌入在pdf中而不是让pdf与CA一起检查,那么如果CRL嵌入在PDF中,则不可能发现撤销的证书吗?我错过了什么吗?
更新: 即使使用TSA时间戳,什么是防止小偷使用旧证书并嵌入一个不能说他的证书被撤销的CRL?这是我不能得到的,对我来说,证明doc是真实的唯一有保证的方法是TSA时间戳和在线OCSP。否则,我不知道嵌入式CRL和TSA是如何足够的。使用CRL,就像允许小偷说他不是小偷一样。否则,我对嵌入式CRL存在某种误解。
Update2 10/1/2014 8:06 am pst:回答如下。 "顶级CRL包含一个日期时间thisUpdate,表示此CRL的发布日期。此外,它可选地还可以包含datetime nextUpdate"是否有每个撤销证书的日期和时间? CRL可以有许多证书。如果每个被撤销的证书都没有无效日期,我就不知道如何确定证书和签名文件在哪个时期是坏的。白皮书第76页的答案确实显示了撤销列表的外观:它包含证书的序列号以及撤销日期。这就是它如何确定签名文件何时不好。然而,在最后签署的合法pdf到报告证书被盗的时间之后,似乎存在不确定性差距。
感谢。
答案 0 :(得分:1)
如果您将密钥报告为被盗,则会在该时间(或甚至仅在发布下一个CRL时)撤销密钥。因此,您之前的签名仍然有效。
如果在签名期间将当前CRL嵌入到PDF中,则在验证期间可以将该信息视为签名的最新信息。
为了使这项工作正常,显然也需要签名时间戳。
CRL 包含日期时间thisUpdate indicates the issue date of this CRL.此外,它还可以包含日期时间nextUpdate indicates the date by which the next CRL will be issued. The next CRL could be issued before the indicated date, but it will not be issued any later than the indicated date.此第二个字段对于符合现行标准的CA来说,实际上是强制性的。
因此,如果您在集成的PDF签名中嵌入了一个CRL,在签名时可以被认为是最新的(例如签名时间后nextUpdate的CRL),< em>验证者以后可以使用此嵌入式CRL来推断签名时未将签名者的证书列为已撤销。
实际上,验证过程不需要具有自己的CRL缓存的独立验证者,如果他在签名时间之后已经有nextUpdate的CRL,则需要更新,除非the certificate or the CRL contains the freshest CRL extension。
所以你的后顾之忧
如果CRL嵌入在pdf中而不是让pdf与CA核对,那么如果CRL嵌入到PDF中,则不可能发现撤销的证书吗?
仅表示在盗窃时间与CRL更新的预定发布日期(包括您的盗窃报告)之间创建的签名存在问题。
这些签名对您来说永远是个问题,因为在此期间使用其他方式也可能会对这些签名进行积极验证并导致法律后果。 (因此,这就是为什么你应该选择一个以短序列重新发布CRL的CA.)
由于此验证过程严重依赖于签署时间,因此需要签名时间戳作为签署时间的确定来源。
OCSP响应也是如此,顺便说一下,它们还包含thisUpdate和nextUpdate字段。 The thisUpdate and nextUpdate fields define a recommended validity interval. This interval corresponds to the {thisUpdate, nextUpdate} interval in CRLs. OCSP响应同样可以嵌入到PDF中。
但系统如何知道早期签名(例如2014年1月)仍然有效?我的意思是,说你偷了我的钥匙并使用了它(比如9/2014),那么系统如何区分我之前签署的合法文件(9/2014)和我的文件(1/2014),因为我们会使用相同的证书?
CRL(和OCSP回复)包含日期时间revocationDate,date on which the revocation occurred。在该日期之前的签名仍然必须被视为有效(就撤销而言)。如前所述,签名时间戳是正常工作的必要条件。
您&#39;已经
一直认为将pdL嵌入pdf的目的对于包含许多页面的pdf文件是有用的,这样pdf就不必上网查看每一页。
这很奇怪,一般来说没有意义。
无论PDF文档有多少页...如果您签名,单个签名就足以一次签署整个文档。在签名之后,您通常不再免费为文档添加其他页面。