Übung 11 A4 d) Prüfung von Zertifikatsketten

Benutzeravatar
dEeP-fRiEd
Kernelcompilierer
Kernelcompilierer
Beiträge: 432
Registriert: 19. Okt 2005 00:58
Wohnort: Darmstadt
Kontaktdaten:

Übung 11 A4 d) Prüfung von Zertifikatsketten

Beitrag von dEeP-fRiEd »

Hi,

ich habe leider gerade festgestellt, dass ich einen Schritt im Prüfungsalgorithmus nach RF3280, so wie er in Übung11 A4 d) angewandt wird, nicht nachvollziehen kann.
Bild
Der RFC lässt für die Werte inhibit_any_policy, policy_mapping und max_path_length verlauten, dass sie bei selfsigned Zertifikaten nicht dekrementiert werden (wenn ich das richtig verstehe):
The integer indicates the number of non-self-issued certificates to be processed before the anyPolicy OID, if asserted in a certificate,is ignored.

The integer indicates the number of non-self-issued certificates to be processed before policy mapping is inhibited.

max_path_length ... is decremented for each non-self-issued certificate in the path
In der Aufgabenlösung werden nun aber inhibt_any_policy und max_path_length nicht, policy_mapping aber doch, dekrementiert (in Schritt i= 3)

Ist das nicht ein Fehler?
(Würde man policy_mapping nicht dekrementieren, würde das auch zu einem anderen Endergebnis führen...)

Oder wird policy_mapping tatsächlich auch bei self-signed Zertifikaten dekrementiert?

Schon mal Danke für die Aufklärung
NOSCE TE IPSUM
visit: http://www.flicknetwork.net.tc

jno
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 144
Registriert: 18. Mai 2007 09:41

Re: Übung 11 A4 d) Prüfung von Zertifikatsketten

Beitrag von jno »

Du hast recht, bei selbstsignierten Zertifikaten wird nicht dekrementiert. Die Spalten sind jedoch anders zu lesen, nämlich stehen in der Spalte i=1 noch die Initialisierungswerte, also im Prinzip der Zustand bevor i=1 gesetzt wird. Entsprechend stehen in der Spalte i=2 die Werte, die gesetzt werden, wenn das Zertifikat C betrachtet wird, das ist nicht selbst signiert, entsprechend wird dekrementiert, bzw. die Policyconstraints übernommen.

Benutzeravatar
dEeP-fRiEd
Kernelcompilierer
Kernelcompilierer
Beiträge: 432
Registriert: 19. Okt 2005 00:58
Wohnort: Darmstadt
Kontaktdaten:

Re: Übung 11 A4 d) Prüfung von Zertifikatsketten

Beitrag von dEeP-fRiEd »

jno hat geschrieben:Du hast recht, bei selbstsignierten Zertifikaten wird nicht dekrementiert. Die Spalten sind jedoch anders zu lesen, nämlich stehen in der Spalte i=1 noch die Initialisierungswerte, also im Prinzip der Zustand bevor i=1 gesetzt wird. Entsprechend stehen in der Spalte i=2 die Werte, die gesetzt werden, wenn das Zertifikat C betrachtet wird, das ist nicht selbst signiert, entsprechend wird dekrementiert, bzw. die Policyconstraints übernommen.
Danke für die schnelle Antwort :)

Ich hatte kurz auch in die Richtung überlegt, aber wieso werden inhibit_any_policy und max_path_length dann nicht dekrementiert, wenn es sich bei dem Schritt (i=3 !)nicht um das self-signed Zertifikat handelt?

Edit: Ich glaube mir dämmert was: Policy_Mapping wird gar nicht dekrementiert, sondern fest auf null gesetzt, da das so im E Zertifikat definiert ist, was dann wohl auch bei self-signed Zertifikaten angewandt wird. Inhibit_Any_Policy hingegen ist nicht definiert und die Dekrementierung wird übersprungen. Pathlen ist zudem als 1 definiert, was den gleichen Effekt hat, wie das überspringen der Dekrementierung.

Ja das macht Sinn :D (Wie lange man sich doch an solchen Kleinigkeiten aufhängen kann...)
NOSCE TE IPSUM
visit: http://www.flicknetwork.net.tc

Antworten

Zurück zu „Archiv“