Skip to Content.
Sympa Menu

cacert-devel - bug #947

Subject: CAcert Code Development list.

List archive

bug #947


Chronological Thread 
  • From: <ulrich AT cacert.org>
  • To: <cacert-devel AT lists.cacert.org>
  • Subject: bug #947
  • Date: Tue, 23 Aug 2011 13:09:21 +0200
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT cacert.org; dkim-asp=none
  • Importance: Normal

Hi,

https://bugs.cacert.org/view.php?id=947
to continue with discussion on the comments:
https://bugs.cacert.org/view.php?id=947#c2136
https://bugs.cacert.org/view.php?id=947#c2137

I don't believe that this is a software issue right now,
and it cannot be handled appropiate by a software solution
right now, and it only can appropiate handled by
arbitration ruling on name change requests

problem case 1
Users surname Schäfer has been assured 20 times with full points.
The name is AP conform.
User created a X509 cert with Schäfer in the surname field.
A half year later, the user starts experiments with gpg keys.
Created a gpg key with surname "Schäfer". Tries to sign the
key thru CAcert's website and is running into a problem
that the gpg key didn't pass as the codebase isn't utf-8 aware.
So the user decided to use the 7bit variant for his name.
He requests a name change that has been passed, so now the
users surname in users account displays "Schaefer"
User created a new gpg key with 7bit ascii that displays "Schaefer".
The gpg signing request did pass.
Now one and a half year later, the users x509 cert expires.
the user sends a renew request and the request gets blocked
caused by this bugfix request.
The users name "Schäfer" is still AP conform (!) and can be confirmed
by at least 20 assurers but doesn't match exactly to the name now
that is in the users account.
A revocation of the existing x509 isn't appropiate, 'cause
the users name _is_ "Schäfer", had been assured in the past,
and can be verified in each new arbitration process.
The only limitation is the CAcert's software, that isn't
capable to handle different name variations
AP 2.1 Members name
At least one individual Name is recorded in the Member's CAcert login
account. 
^^^^^^^^^^^^^^^^^^^^^^^^
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
So the current running software isn't AP conform, as it allows multiple
name variations, especialy for the common dutch case, where a user with
3 govermental issued photo id's has 3 different names

"The Name is recorded as a string of characters, encoded in unicode
transformation format."
unicode doesn't work at CAcert website or has many bugs, so isn't fully AP
conform.

Revocation of certs in the given example isn't acceptable, cause the users
name
is still valid and can be continuously be used
At the time of issuing the x509 key, the name in the key was valid, and
after the name change in the users account the name is also still valid
under AP as it can be verified by all his ID doxs



example 2
the user entered "Michael Schaefer MS" in his user account long time ago.
Several assurers didn't noticed the "MS" suffix and assured the user
at a time AP wasn't in effect. The user has created 2 x509 certs
one with givenname, surname (Michael Schäfer) and a 2nd one with
givenname, surname + suffix  (Michael Schäfer MT)
Following Assurers noticed the wrong part in the name and started
a dispute filing with the result, that the name in users account
has been corrected with the arbitrators ruling, that all
certs that have the wrong name part in it should be revoked.
So arbitrators ruling effects cert #2, but not cert #1 'cause
cert #1 doesn't contain the wrong name part.
nothing needs to be checked in renewing the remaining cert



example 3
Users name was Michael Bäcker.
The user received 5 assurances with this name.
After marriage the users name becomes Michael Schäfer.
The user requested a name change after marriage and has
been refered to Name change w/ Assurance.
Support received the request with 2 validated assurances.
One ID document presented has the new name (Bäcker),
the 2nd (old) ID document displays the name before marriage (Schäfer)
Assurers noted both names and sent their info to support.
Support changes the username as requested following a precedent case.
Both names are still valid following AP as both names can be
found in at least one ID document. Revocation of certs is not need
and not appropiate here, as the identity of the user didn't change
and each name can be verified by at least one ID document, assurers
documented both names on their CAPs.
Now the user tries to renew his old cert with name "Michael Bäcker"
in it and gets blocked caused by this bugfix request.
A revocation of this cert is unacceptable 'cause its still valid,
the name is still verifyable by all the assurers, the user needs to
continue using this cert 'cause the cert relates to a login account
in another system and from AP view, there is no need to revoke
this cert 'cause it is still AP conform.


A software cannot handle case 1 and 3, only case 2 and case 2
is still handled thru arbiitrators ruling.


Another hint:

the capnew.php includes 3 lines for 3 different name variations
that can be found in 3 different ID documents.
Under this PoV AP defines AP 2.1 + AP 2.2.
The only one thing that isn't AP conform is the CAcert
database with only one name line for a user account.
In the discussion on policy mailing list defining AP 2.1 + 2.2
the extending of webdb database with several names has been
expected and current state of webdb to be seen as an intermediate
state. The Birdshack design has the multiple name lines
included from start.
Multiple name lines for each user record can probably be added
to the running system (had some discussion with dirk about this
issue quite some time ago), this will fix the
https://bugs.cacert.org/view.php?id=920 probably too
if the name record is migrated to one full name string only
AP 2.1 -> "The Name is recorded as a string of characters"
so  $fname + $mname + $lname  have to be != ""



regards, uli   ;-)

Attachment: smime.p7s
Description: S/MIME cryptographic signature




Archive powered by MHonArc 2.6.16.

Top of Page