[Bitrepository-devel] Operation authorisation

Michael Rasmussen mira at kb.dk
Tue Jan 10 10:55:30 CET 2012 

I forbindelse med arbejdet på operation authorisation[1] har jeg lige to spørgsmål:

1)
Bare så vi er enige. Givet Data: 'Hello world!' og et X509 certifikat, der skal bruges til verificering:

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

Skal følgende CMS[2] signatur sendes med beskederne:

MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwEAADGB1zCB1AIBATAuMCExCzAJBgNVBAYTAkRLMRIwEAYDVQQDDAljbGllbnQtMTMCCQDMZo0ssJ6s7zANBglghkgBZQMEAgMFADANBgkqhkiG9w0BAQEFAASBgHhp9p/wAHX8zAEIamAnyIywpI0wBYvR62pkLIrHwpTgsnjFpJRZPYYiF1egsIcy7ZjQrkh4UtMRLZyGbzk/GeuExdSrj66gAG4j8NeS7Ekp1zb16SUH8bKu/H83PqLxYBvIyEks3lMKu5T76Bmwa9x32H2zpzJjSqLRZCNgwQnBAAAAAAAA

Indlejret i signaturen er (så man ikke behøver løbe alle certifikater igennem for at finde det rigtige):

SignerID: Serial Number: 14728614854443052271, Issuer: CN=client-13,C=DK
Digest algorithm: 2.16.840.1.101.3.4.2.3 (SHA-512)
Encryption algorithm: 1.2.840.113549.1.1.1 (RSA Encryption)

Dette er det aftalte format, ikke?

2)
Selvom et replay attack[3] er ekstremt usandsynligt, og ikke på nuværende tidspunkt ville være særligt effektivt, burde der nok indføres en obligatorisk "lastRelevanceTime" i Requests, der angiver det seneste tidspunkt, hvor en pillar må påbegynde behandlingen af en forespørgsel. Dette kunne også vise sig nyttigt i andre situationer til at filtrere gamle og irrelevante beskeder væk.

Mvh Michael

[1]: https://sbforge.org/jira/browse/BITMAG-310
[2]: http://en.wikipedia.org/wiki/Cryptographic_Message_Syntax
[3]: http://en.wikipedia.org/wiki/Replay_attack

[http://support.kb.dk/images/kb_logo.jpg]

Det Kongelige Bibliotek
Nationalbibliotek og Københavns Universitetsbibliotek

Michael Rasmussen
IT-Konsulent/Civil værnepligtig | Consultant

Det Kongelige Bibliotek | The Royal Library
Digital Infrastruktur og Service |
P.O. Box 2149 | DK-1016 København K
tel +45 3347 4574 | Fax +45 3393 2218 | mira at kb.dk<mailto:mira at kb.dk> | www.kb.dk<http://www.kb.dk>

Besøgsadresse | Visiting address | Søren Kierkegaards Plads 1
Leveringsadresse | Delivery address | Christians Brygge 8 | 1219 København K

EAN 5798 000 79 52 97 | Bank 0216 4069032583 | CVR 28 98 88 42
IBAN DK2002164069032583 | Swiftcode DABADKKK


-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.sbforge.org/pipermail/bitrepository-devel/attachments/20120110/7a0c5de6/attachment-0001.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 14433 bytes
Desc: image001.jpg
URL: <http://ml.sbforge.org/pipermail/bitrepository-devel/attachments/20120110/7a0c5de6/attachment-0001.jpg>

More information about the Bitrepository-devel mailing list