能否使用PGP公钥/私钥创建SSL证书？

Question

能否使用PGP公钥/私钥创建SSL证书？

8

我有一组我的朋友信任的PGP公钥/私钥（RSA）对。我运行一个Web服务器，想生成一个SSL证书，其公钥与我的PGP公钥匹配。

这个有意义吗？可能吗？安全吗？

- Sam Goto

虽然两者都是公钥加密的形式，但它们是不同的。请访问 http://forums.comodo.com/digital-certificates-encryption-and-digital-signing/what-is-the-difference-between-ssl-public-key-and-pgp-public-key-t21909.0.html 了解详情。 - Eugene

是的，我明白它们有不同的目的（打包和预期使用）。然而，问题是你是否可以在这两种情况下使用相同的公钥。 - Sam Goto

那个链接相当令人困惑，很多人所谓的“PGP公钥”实际上是证书：http://www.pgpi.org/doc/pgpintro/ （话虽如此，PGP证书和X.509证书的目的确实不同。） - Bruno

你为什么需要那个？物理上，它是同样的密钥，但你不会使用它。 - Nickolay Olshevsky

2个回答

4

请查看MonkeySphere项目： http://web.monkeysphere.info/

如何生成SSL证书的说明： http://web.monkeysphere.info/doc/host-keys/

此外，这个项目还有一个Firefox扩展，让你的朋友可以通过你的PGP密钥进行验证。

- Schuyler

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Bruno · Accepted Answer

如果你的PGP密钥格式也支持X.509格式，那么是可以实现的，RSA就是其中之一。

这里有一个Java实现，使用BouncyCastle将PGP证书转换为自签名的X.509证书（需要在加载它之前加载BouncyCastle安全提供程序）。

请注意，大多数人所说的PGP公钥实际上是PGP证书。公钥本身是包含在这些证书中的RSA密钥（或其他格式）。因此，可以获取密钥材料并在另一个证书中使用它。然而，这样做会失去使PGP证书成为证书的信息：将密钥绑定到标识和由其他人添加的签名（遵循PGP模型）。

您可能可以将PGP证书的额外信息放入自己的扩展中的X.509证书中。

使用相同的密钥材料可能取决于您想要实现什么。再次使用相同的密钥材料或多或少意味着“您”（PGP证书背后的ID）和您的Web服务器成为同一个，因为如果一个私钥被泄露，另一个也会被泄露（例如，Apache Httpd要求私钥在存储在服务器上时不受密码保护，尽管通常只能由root用户访问）。此外，这对于访问网站的访客可能没有太大帮助，除非他们想深入研究“未知证书”警告框以检查公钥是否与您的匹配（他们可能知道）。