Perché la velocità di emissione di una CA dipende dal numero di certificati che hanno già emesso?

6

Ho visto i risultati di test proprietari di colpire una CA per un lungo periodo e misurare il suo throughput (certificati emessi / secondi). È stato rilevato che le CA diventano più lente emettere nuovi certificati man mano che la dimensione del loro database / elenco di revoche aumenta (lavoro proprietario, nessun risultato da collegare tristemente). Ad esempio, alcune CA di infrastruttura aziendale (es .: S / MIME) si appannano con circa 100.000 certificati nel database. L'EJBCA blocca circa 1 milione di certificati, ecc.

La mia domanda è: i database possono gestire facilmente ricerche / inserzioni veloci su milioni di linee, quindi cosa c'è di diverso nell'emissione di certificati? Presumibilmente c'è una sorta di crittografia in corso il cui runtime dipende dalla dimensione del database.

Tieni presente che questa è una domanda successiva dai commenti a questa domanda .

    
posta Mike Ounsworth 08.12.2015 - 22:44
fonte

1 risposta

1

Auto-risposta.

I commenti suggeriscono che questi risultati possono essere spiegati dal fatto che stiamo facendo inserimenti quasi costanti in un database non gestito, di taglia unica, e che probabilmente potrebbero essere risolti mettendo un po 'di impegno nel database .

Nel menzionarlo a un collega, è stato sottolineato che alcune CA, come cortesia, verificheranno che la tua chiave pubblica sia unica per impedire a un server di impersonare un altro. Ciò richiederebbe una ricerca O (log n), o una manutenzione di background hashtable o qualcos'altro che userebbe quantità non banali di CPU man mano che il database diventerà grande.

    
risposta data 09.12.2015 - 22:53
fonte

Leggi altre domande sui tag