Che cos'è SCEP?
Protocollo di registrazione certificato semplice è un protocollo di registrazione certificato originariamente definito da Cisco nel 2011 IETF Internet-Draft draft-nourse-scep , e più recentemente nel 2018 IETF Internet-Draft draft-gutmann-scep dell'Università di Auckland.
Che cos'è EST?
L'iscrizione su Secure Transport (EST) è un protocollo di registrazione certificato definito da Cisco, Akayla e Aruba Networks in RFC 7030 . EST può essere pensato come un'evoluzione di SCEP. Cisco fornisce un bel guida alla comprensione dell'EST , che viene spinto a favore di EST.
SCEP vs EST
Analogie
Entrambi i protocolli sono molto simili in quanto il client invia CMS (aka PKCS # 7 ) e CSR (aka PKCS # 10 ) i messaggi all'autorità di certificazione, firmati con un certificato preesistente per iscriversi a un nuovo certificato con il dato CA.
Entrambi supportano i seguenti metodi affinché il client possa dimostrare la propria identità alla CA (sebbene i dettagli esatti siano diversi):
- Messaggi CMS / CSR firmati con un certificato client precedentemente rilasciato (ad esempio, esistente
certificato rilasciato dalla CA). Questo è tipico per il rinnovo di un certificato.
- Messaggi CMS / CSR firmati con un certificato installato in precedenza che la CA è stata configurata per fidarsi (ad es.
certificato installato o certificato emesso da altri
festa). Questo è tipico per dispositivi IoT, dispositivi mobili, ecc. Che hanno un certificato iniettato durante la produzione e in cui la CA è stata configurata per fidarsi della CA di produzione.
- Un segreto condiviso che è stato distribuito al client fuori banda.
Le differenze
La principale differenza tra loro è che EST utilizza TLS standard come livello di sicurezza del trasporto, richiedendo che i certificati sopra siano forniti per l'autenticazione client TLS oltre a firmare i messaggi CMS e CSR.
In SCEP, il metodo di autenticazione segreta condivisa viene eseguito includendo il segreto in challengePassword campo della CSR e creazione di un certificato autofirmato usa e getta per firmare il messaggio CMS con.
Poiché EST utilizza TLS standard, ha due metodi per la registrazione utilizzando un segreto condiviso:
-
TLS solo server con autenticazione utente username / password di base, dove nome utente e password sono il segreto condiviso distribuito fuori banda.
-
TLS con autenticazione reciproca che utilizza una suite di crittografia a chiave pre-condivisa (PSK). Netto effetto collaterale è che questo consente al client di autenticare la CA senza che sia necessario sapere in anticipo quale CA riceverà un certificato (ovvero non è necessario distribuire in anticipo il certificato CA radice).
Sommario
Entrambi sono protocolli accettabili per la registrazione automatica dei certificati con una PKI e offrono caratteristiche di sicurezza simili.
I vantaggi di EST sono che esternalizza la sua sicurezza del livello di trasporto a TLS standard e pertanto continuerà a migliorare la sicurezza e le prestazioni man mano che vengono rilasciate nuove versioni di TLS. Questo può anche essere uno svantaggio per i dispositivi vincolati che non vogliono dedicare spazio codice a un'implementazione TLS.