Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od petr_p - Samozřejmě, že se certifikát vydá před vypršením platnosti...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 11. 2015 22:51

    petr_p (neregistrovaný) ---.bayer.uni.cx

    Samozřejmě, že se certifikát vydá před vypršením platnosti starého. Jenže certifikát nevyrobíte bez soukromého klíče. A když máte požadavky, že klíč nesmí opustit kartu, tak jej musíte vygenerovat na kartě. A když karta není schopna pojmout více jak jeden klíč, tak musíte smazat nejprve starý.

    Taky ve větším měřítku se nepoužívají vlastní autority, ale akreditované veřejné autority. Tam pak musíte po vydání certifikátu distribuovat sériová čísla certifikátů do všelijakých nezávislých informačních systémů. Pak se nevyhnete období, že máte certifikát, ale ne všichni vědí, koho prokazuje.

    Můj pocit z PIV je, že je to taková nabušená průkazka, kdy zaměstnanec vyfasuje každý rok novou kartu se zaměstnavatelem před­generovaným certifikátem. Smyslem není chránit zaměstnance, ale zaměstnavatele.

    Jinak u PKCS#11 můžete mít klíčů, kolik chcete. Omezením je jen velikost paměti v kartě. V případě PKCS#15 dokonce můžete mít skupiny klíčů chráněné různým PINem.