CertificateRevocationListExtensions Klasse

Extension Methods für CertificateRevocationListBuilder mit Post-Quantum-Unterstützung.

Definition

namespace WvdS.System.Security.Cryptography.X509Certificates;
 
public static class CertificateRevocationListExtensions

Methoden

Methode	Beschreibung
Build	Erstellt eine signierte CRL mit PQ-Support
VerifySignature	Verifiziert die CRL-Signatur

CRL erstellen

Hybrid-Modus (empfohlen):

// CA-Zertifikat laden
var caCert = new X509Certificate2("ca.pfx", "password");
 
// CRL erstellen
var builder = new CertificateRevocationListBuilder();
builder.AddEntry(revokedCertificate.SerialNumberBytes.ToArray());
 
// CRL mit Hybrid-Signatur bauen
byte[] crlData = builder.Build(
    caCert,
    crlNumber: BigInteger.One,
    nextUpdate: DateTimeOffset.UtcNow.AddDays(7),
    HashAlgorithmName.SHA256,
    CryptoMode.Hybrid);

CRL-Signatur verifizieren

byte[] crlData = File.ReadAllBytes("ca.crl");
var caCert = new X509Certificate2("ca.cer");
 
bool isValid = CertificateRevocationListExtensions.VerifySignature(
    crlData,
    caCert,
    CryptoMode.Hybrid);

Widerrufsgründe

CrlReason	Wert	Beschreibung
`Unspecified`	0	Kein spezifischer Grund
`KeyCompromise`	1	Privater Schlüssel kompromittiert
`CaCompromise`	2	CA-Schlüssel kompromittiert
`Superseded`	4	Durch neues Zertifikat ersetzt
`CessationOfOperation`	5	Betrieb eingestellt

Compliance

RFC 5280¹⁾ - X.509 PKI CRL Profile
NIST FIPS 204²⁾ - ML-DSA

Siehe auch

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

crl, revocation, widerruf, zertifikat

¹⁾

IETF RFC 5280: https://www.rfc-editor.org/rfc/rfc5280

²⁾

NIST FIPS 204: https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.204.pdf

Inhaltsverzeichnis