Добрый день,
На мой взгляд тут есть две стороны медали.
Первая - техническая. В цитируемом Вами отрывке речь идет о том, что нельзя выполнять обратные операции используя одну ключевую пару. Дело в том, что в RSA при подписании (формировании ЭЦП) операция выполняется с использованием закрытого ключа, а при шифровании - открытого ключа.
Связано это с тем, что задачи разные:
- При подписании отправитель хочет подтвердить получателю что он является тем, за кого себя выдает, при этом получатель должен заранее знать открытый ключ отправителя. Отправитель подписывает блок данных закрытым ключом, получатель проверяет подпись открытым ключом.
- При шифровании отправитель хочет передать конкретному получателю данные так, чтобы их никто не мог перехватить, отправитель должен заранее знать открытый ключ получателя. Отправитель шифрует блок данных открытым ключом получателя, получатель расшифровывает данные своим закрытым ключом.
В криптоанализе считается что при использовании одной и той же ключевой пары для обеих операций злоумышленник может получить больше информации о ключах, чем в том случае, когда для каждой операции используется отдельная ключевая пара.
Теперь о том как шифрование и подписание связаны с аутентификацией.
Дело в том, что в двусторонней SSL/TLS аутентификации применяется именно шифрование. Изначально сертификаты аутентификации НУЦ использовались именно для двусторонней SSL/TLS аутентификации - если помните для этого нужно было импортировать сертификат и закрытый ключ в браузер и браузер при открытии сайта сам выдавал запрос о том какой сертификат использовать. Такой подход не прижился и все постепенно перешли аутентификацию с использованием NCALayer. В этом случае на самом деле используется подписание - сервер передает браузеру блок случайных данных, браузер передает их NCALayer на подписание, получает подпись и передает ее серверу на проверку. В том случае, если подпись верна, сервер может быть уверен в том, что на той стороне тот, чьи данные указаны в субъекте сертификата. Детальнее схема описана в статье https://sigex.kz/blog/authentication/
То есть уже сейчас сертификат аутентификации используется не для шифрования, а для подписания. Так что противоречия пункту 5.1.3
нет. Более того, это противоречие имело место тогда, когда часть сайтов использовала двустороннюю SSL/TLS аутентификацию, а часть аутентификацию средствами NCALayer, так как пользователи то шифровали, то подписывали одной и то же ключевой парой.
Теперь вторая сторона медали - связанная с безопасностью. Сейчас проходя аутентификацию на каком-то сайте технически подкованные пользователи обращают внимание на то, что у них просят использовать сертификат аутентификации и они знают что эта операция не приведет к подписанию чего-то юридически значимой цифровой подписью, то есть относятся к этому спокойнее. В том случае, если сертификат будет один и для аутентификации и для ЭЦП, то с осторожностью нужно будет относиться и к аутентификации.