Warum keine negativen zahlen?

Natürlich sind negative zahlen erlaubt.
Bit ist bit. Die hätten auch nen Double nehmen können oder acht chars. Ist alles eine Frage wie das hinterher interpretiert wird. Auf Bit Ebene macht es jedenfalls keinen Unterschied

Usernäme schrieb:
--------------------------------------------------------------------------------
> Natürlich sind negative zahlen erlaubt.
> Bit ist bit. Die hätten auch nen Double nehmen können oder acht chars. Ist
> alles eine Frage wie das hinterher interpretiert wird. Auf Bit Ebene macht
> es jedenfalls keinen Unterschied

Durch den Fehler wurde aber eben das erste Bit auf positiv gesetzt wodurch eben "nur" 63 Bit generiert wurden. Das erste BIT war IMMER GLEICH!

"CAs SHALL generate Certificate serial numbers greater than zero (0) containing at least 64 bits of output from a CSPRNG"

Steht in den Baseline Requirements so:
https://cabforum.org/wp-content/uploads/CA-Browser-Forum-BR-1.6.3.pdf

hannob (golem.de) schrieb:
--------------------------------------------------------------------------------
> "CAs SHALL generate Certificate serial numbers greater than zero (0)
> containing at least 64 bits of output from a CSPRNG"
>
> Steht in den Baseline Requirements so:
> cabforum.org
Solange man kein Minus hinschreibt ist die Zahl ja nicht negativ. Das Problem ist halt nur, dass man es als long interpretiert hat und so automatisch ein Minus dran steht wenn man es ausgibt.



2 mal bearbeitet, zuletzt am 13.03.19 13:29 durch HiddenX.

HiddenX schrieb:
--------------------------------------------------------------------------------
> hannob (golem.de) schrieb:
> ---------------------------------------------------------------------------
> -----
> > "CAs SHALL generate Certificate serial numbers greater than zero (0)
> > containing at least 64 bits of output from a CSPRNG"
> >
> > Steht in den Baseline Requirements so:
> > cabforum.org
> Solange man kein Minus hinschreibt ist die Zahl ja nicht negativ. Das
> Problem ist halt nur, dass man es als long interpretiert hat und so
> automatisch ein Minus dran steht wenn man es ausgibt.
Sie war eben Positiv. Man hat dem Generator gesagt 64 Bit aber Positiv und dieser hat dann 63 Bit zufällig generiert und das erste Bit war eben immer Positiv (also 0). Da gehts noch garnicht um die Interpretation.

Doch, oder willst du etwa einen 65-Bit oder ein 128 -it Integer im Zertifikat ablegen, damit die Regel dass nur positive Werte erlaubt sind, erfüllt wird?
Diese Regel zwingt ja alle quasi den Wert falsch zu interpretieren.

Noren schrieb:
--------------------------------------------------------------------------------
> Doch, oder willst du etwa einen 65-Bit oder ein 128 -it Integer im
> Zertifikat ablegen, damit die Regel dass nur positive Werte erlaubt sind,
> erfüllt wird?
> Diese Regel zwingt ja alle quasi den Wert falsch zu interpretieren.
Es geht erstmal garnicht um die interpretation. Du verstehst das Problem bzw. dessen Ursprung nicht.

Der Generator hat eine 64-Bit Zahl ausgespuckt und dabei das erste Bit als Vorzeichen-Bit genutzt wodurch "nur" 63 Zufällig waren und das erste Bit IMMER 0 war. Da die Seriennummer aber immer Positiv ist, benötigt man kein Vorzeichenbit und das erste Bit kann genau wie die anderen 63 Bit zufällig generiert werden.

Ob man diese 64 Bit nun als Dezimalzahl interpretiert, als Hex, als Buchstaben oder sonstwie ist dann egal.

Dann ist das erste Bit halt immer zufällig 1

Null isses.

Aber eben nicht zufällig.

Noren schrieb:
--------------------------------------------------------------------------------
> Doch, oder willst du etwa einen 65-Bit oder ein 128 -it Integer im
> Zertifikat ablegen, damit die Regel dass nur positive Werte erlaubt sind,
> erfüllt wird?
> Diese Regel zwingt ja alle quasi den Wert falsch zu interpretieren.

Die Interpretation als Deziamlzahl spielt hier keine Rolle.

Vorgeschrieben sind 64 zufällige Bits
Generiert werden aber nur 63 zufällige Bits und eines mit fix 0.

Ob und wie man das in eine dezimalzahl umwandelt, ist dabei unerheblich.

Man kann bytes als signed oder unsigned int oder long interpretieren, big oder little endian, usw.

Das Vorzeichenbit ist i.d.R. 0 für positiv und 1 für negativ.

Negative Seriennummern sind nach RFC 5280 nicht erlaubt. Deshalb wurden 50% aller erzeugten Seriennummern weggeworfen.