智能卡中的数字签名:为什么有两个证书,一个用于身份验证,另一个用于不可否认(签名)?

时间:2014-09-30 19:18:26

标签: pdf digital-signature smartcard

更新:阅读使用智能卡签名的白皮书,并提出以下问题:

智能卡中的数字签名:为什么有两个证书,一个用于身份验证,另一个用于不可否认?为什么不能同时使用一个证书,因为身份验证和不可否认证书都使用私钥加密和公钥解密。是因为"身份验证证书"包含敏感信息?

它说认证签名允许卡证明他的身份,并且证书还包含隐私敏感信息,例如性别,出生日期和国家号码。不可否认签名用于生成电子签名。

1 个答案:

答案 0 :(得分:1)

通常的做法是将多个密钥用于多种用途。

可能存在许多技术差异和程序差异:

  • 身份验证可以缓存PIN,而不可否认(非代表)证书的私钥可能要求持有者为每个签名操作提供PIN。
  • 可以撤销一个私钥(例如,更敏感的非重复密钥),同时仍然可以使用身份验证密钥。
  • 身份验证的使用时间可能比非代表密钥长。
  • 非代表密钥的关键用法可能更严格。
  • 非代表密钥的CA密钥也可以具有更高级别的保护。
  • 曾经是这样的情况。 SSL身份验证需要不同的签名(MD5 + SHA-1)或加密操作。密钥访问越高,它们的安全性就越低。如今,TLS可用于与短暂的Diffie-Hellman结合使用更经常的签名。
  • 正如尤金所评论的那样,可能有立法机构需要单独的密钥和/或证书链进行身份验证和非代表。

即使以上所有内容都不正确,它们也可能在将来适用。因此,特定目的的特定键。请注意,上述内容仅仅是我的头脑。

相关问题
最新问题