Considerações para a revogação de certificado para redes ad-hoc isoladas de forma intermitente

1

Estou tentando decidir sobre uma estratégia de revogação de certificado para uma solução que estou projetando (que utilizará o Dogtag PKI, por solicitação do cliente). As escolhas óbvias parecem estar usando uma CRL ou usando o OCSP. Estou tentando entender as implicações práticas de ambos e selecionar um que possa suportar essa solução em particular.

Acho que a pegadinha principal aqui é que, embora os clientes tenham acesso ocasional à rede para a infra-estrutura PKI, eles também precisarão operar em uma capacidade de lan isolada. Neste caso de uso, dois clientes precisam ser capazes de autenticar um ao outro diretamente (incluindo uma verificação de revogação de certificado por uma autoridade central) sem acesso a, e. um respondente do OCSP.

  • Uma dessas soluções (CRL / OCSP) se presta melhor para a operação em cache / offline?
  • É correto caracterizar uma CRL como uma lista negra e o OCSP como uma lista branca (que pode ser armazenada localmente, talvez parceladamente para pares conhecidos)?
  • Estou fazendo a pergunta errada? (Outra solução adequada, talvez, ou outro ângulo para abordar o problema?)
por G__ 06.04.2011 / 17:57

1 resposta

2

OCSP é realmente apenas um meio diferente para o mesmo fim: verificar se um determinado certificado é revogado. Ambos podem ser considerados uma lista negra; com uma CRL, o cliente pegará a lista inteira e verificará o certificado individual em si, enquanto que com OCSP ele está enviando uma solicitação para obter o status em um certificado individual sem precisar fazer o download da lista completa.

O OSCP é, como o nome indica, um protocolo online; não é apropriado para o cache. Usando uma CRL seria o caminho a percorrer para a operação offline; como eles podem ficar grandes e as verificações são necessárias com bastante frequência, a maioria dos sistemas operacionais manterá um cache de CRLs que eles usaram recentemente (depende do aplicativo que está sendo usado, é claro), que caberia muito bem para o que você está procurando. Além disso, use os meios necessários para levar esse arquivo CRL para os clientes e tenha a lista de certificados raiz como algo para um CDP que eles possam acessar localmente.

No entanto, existem desvantagens definitivas. Obviamente, o armazenamento em cache traz consigo o risco de permitir um certificado revogado com uma CRL desatualizada ou, no extremo oposto, atingir um momento ruim na expiração da CRL e fazer com que sua CRL em cache seja descartada antes de se reconectar à rede. Além disso, verifique se o certificado raiz não lista uma CRL delta; Isso reduziria significativamente o tempo de vida efetivo do cache, exigindo uma cópia atual de um delta de curta duração para cada verificação.

O tempo de vida da CRL será a maior consideração de design; você precisará equilibrar a necessidade de os clientes terem cópias sempre funcionando, com o atraso tolerável para garantir que um certificado revogado não seja mais confiável.

    
por 06.04.2011 / 18:24