[Ilugc] Minutes from ILUGC August 2002 meet

  • From: moinakg@xxxxxxxxx (Moinak Ghosh)
  • Date: Wed, 14 Aug 2002 23:28:12 +0530

Hi Udaya,

At 06:40 PM 8/14/2002 +0530, Udaya Kumar.R wrote:

On Mon, 12 Aug 2002, Parthasarathy R Wrote :

m2part :www.pyca.de (correct me if I am wrong). He then went
m2part :on to explain how a public & private key of a
m2part :particular person are certified in Open CA. From what
m2part :I understood i guess the public and private keys are
m2part :sent to a RA(Registration Authority ?) who/which then
m2part :validates the details provided by the person/system.

Is it necessary to send the private key too ?
Elucidate !

    No! Actually the private key should never leave the person's
    machine! It should not be given to anybody ... not even the CA.
    If it is known by anyone else other than the owner, then
    security of the PKI approach is completely compromised.

    However the RA needs to verify that the person sending the
    public key for certification is also the true owner of the
    corresponding private key.  This can be done by various
    means. One simple scheme is challenge-response. The RA generates
    some one-time random data and encrypts it with the applicant's
    public key. It then sends the encrypted data to the applicant.
    If the applicant can successfully decrypt and return the original
    data then it is certain that he also holds the proper private key.


m2part :After the RA is convinced about the validity of the
m2part :information provided and then the public key is stored
m2part :into the CA repository. By following this method the
m2part :person/system is restricted from accessing CA
m2part :repository directly. There was also an

Can somebody please explain why it is necessary to access the
   CA's repository by person other than the CA ?

    The RA is the frontend to a CA's operations and deals with
    customers. The CA database may contain potentially vulnerable/
    private data that should not be accessible to all. So only
    the RA is ideally allowed access into the CA repository.


bye.
uday.
--
Reply To :
perl -e 'print pack 
"H*","69747375646179406c696e7578667265656d61696c2e636f6d";'
                                       OR
                          to the above 'From' Address

_______________________________________________
To unsubscribe email Ilugc-request@xxxxxxxxxxxxxxxxxx with "unsubscribe 
<password> address"
in the subject or body of the message.
http://www.aero.iitm.ernet.in/mailman/listinfo/ilugc


Other related posts: