Une bi-clé, 2 certificats sur la même bi-clé et cryptage, question ...

Le
neopale
Bonjour,

Voici mon problème en qqes points :
0 - J'ai une "mini" PKI basée sur OpenSSL et qqes scripts qui vont bien.
1 - Je génère une bi-clé (RSA 3DES et 1024b)
2 - Je créée le CSR
3 - Je signe la CSR par la CA et j'ai mon certificat correspondant à mes clés
4 - Au passage, je fabrique un pkcs12 (ou pfx) contenant le certif et la clé privé

Je crypte un fichier avec ce certif via la clé publique bien sur puis je décrypte en passant en paramètre le p12 --> Ok tout est propre. Je conserve ce fichier crypté dans 1 coin.

Maintenant, mon problème : je me pose dans la situation de la révocation/fin de validité de mon certif. Je souhaitais simplement regénérer une CSR puis signature etc à partir de la même bi-clé et du même DN puis décrypter mon fichier stocké dans 1 coin.
Effectivement si je tente de décrypter le fichier crypté (avec le certif N°1) avec le certif N°2 qui a la même bi-clé et bien ca pete !!!

Qui pourrait me donner 1 explication du pourquoi ?

Merci par avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bruno Tréguier
Le #21250061
Le 19/02/2010 à 19:38, neopale a écrit :
Bonjour,



Bonjour,

[...]

Maintenant, mon problème : je me pose dans la situation de la révocation/fin de
validité de mon certif. Je souhaitais simplement regénérer une CSR puis
signature etc... à partir de la même bi-clé et du même DN puis décrypter mon
fichier stocké dans 1 coin.
Effectivement si je tente de décrypter le fichier crypté (avec le certif N°1)
avec le certif N°2 qui a la même bi-clé et bien ca pete !!!

Qui pourrait me donner 1 explication du pourquoi ?

Merci par avance



Il y a des choses que je ne comprends pas bien dans votre raisonnement:

1) à mon sens, le seul motif valable de garder le même bi-clef serait
l'arrivée à péremption de votre certificat. Dans tous les autres cas
(départ de la personne concernée, changement de fonction, ou pire:
compromission de la clef privée), il y a lieu de générer un nouveau
bi-clef !

2) si vous gardez le même bi-clef, le même DN, et les mêmes attributs,
le CSR sera également identique, pas la peine de le refaire... Seul le
certificat sera différent (parce qu'il est horodaté et que le numéro de
série est différent).

3) cela dit, si les conditions évoquées dans votre message sont réunies
(même bi-clef, même DN, etc.), il n'y a aucune raison pour que vous ne
puissiez pas déchiffrer votre fichier (et c'est bien le souci
d'ailleurs, et la raison même de la nécessité de changer le bi-clef en
cas de révocation du certif pour d'autres raisons que la péremption simple).

4) utiliser de la crypto asymétrique seule pour chiffrer n'est pas la
meilleure solution (à moins que votre exemple ne soit qu'un exemple,
justement): la lenteur de cette méthode vous limitera assez rapidement
au niveau de la taille des fichiers.

Pourriez-vous décrire les suites de commandes que vous avez utilisées
pour créer vos certificats, et celles concernant le
chiffrement/déchiffrement du fichier, ainsi que les messages d'erreur
éventuels (parce "ça pète", c'est un peu sec ;-) ).

Cordialement,

Bruno Tréguier
Publicité
Poster une réponse
Anonyme