Názor k článku Yubikey Neo po dvou letech od petr_p - V případě RSA na nový veřejný klíč potřebujete nový...

V případě RSA na nový veřejný klíč potřebujete nový soukromý klíč. Tudíž na nový certifikát potřebujte nový soukromý klíč. Všechno ostatní jsou změkčení, která podkopávají smysl výměny certifikátů nebo přímo porušují bezpečnostní pravidla.

Bohužel ze subjectu certifikátu nepoznáte, komu byl vydán. Různé autority mají různá pravidla a hodnoty různě omezují nebo normalizují. Konfliktní jména (stejnojmenní lidé ze stejné organizační jednotky nebo adresy) autority často řeší ad hoc změnami, které nelze předjímat. Takže ten samý člověk může dostat od dvou autorit certifikáty s jiným jménem. E-mail vypadá lákavě, ale za prvé je nepovinný, za druhé někdo má e-mailovou adresu odpovídající roli, nikoliv jménu.

Yubikey není stejný případ. Yubikey má PIV applet (u nových modelů jej dokonce nemůžete vyměnit nebo přidat si další), což je na stejné úrovni jako PKCS#11 profil. Rozdíl je, že PIV, alespoň v podání Yubikey (hledat specifikaci se mi nechce), má principiální omezení. Karty mají obvykle aspoň 32 KB. Tam se těch certifikátů vejde rozhodně více.