Sono preoccupato per l'hacking di una CA radice e voglio acquistare 3 certificati SSL da provider completamente diversi che convalideranno in modo indipendente la mia identità. Poi al momento della presentazione, invierò tutte e 3 le "certificazioni" al cliente.
Quali approcci esistono per soddisfare questa esigenza dal punto di vista del protocollo o cripto (dove le chiavi sono unite in qualche modo)?
Contesto
- Un client Web HTTP esistente, un'estensione chrome o SOCKS / Proxy che esegue una convalida aggiuntiva
- Una dimostrazione del concetto per un'altra implementazione non ancora inventata (ad esempio una nuova versione di TLS che incorpora nuova crittografia)
Le possibili soluzioni che ho pensato includono:
-
Il client effettua 3 richieste HTTPS, in cui ogni richiesta viene crittografata con un certificato diverso. La risposta dovrebbe essere un numero casuale uguale in tutte e 3 le risposte.
-
2 chiavi sono firmate e contengono un campo personalizzato x509 che fa riferimento al numero di serie del certificato "validato"
-
Le chiavi sono combinate matematicamente in un modo interessante che riduce le richieste multiple in una singola richiesta. (RSA o ECC / sottogruppi)
Domanda
-
Esiste un tale protocollo in bozza ovunque?
-
Esiste un modo per combinare matematicamente la convalida dei certificati N senza perdere la sicurezza?
a. Sono interessato alla crittografia che autentica me 3x come host web
b. Aumenta l'integrità dei dati con un flusso di dati con firma 3x
c. Aumenta la privacy dei dati con 3x la crittografia
(Nota: so che DANE potrebbe soddisfare parte di questo requisito, ma sto cercando una soluzione non DANE / HTS)