Attributi Certificati e gestione degli accessi

Nella vita reale reale , i certificati di attributo non funzionano. Nessuno li supporta davvero. Una ragione è che i certificati sono, per definizione, un metodo di distribuzione asincrona per le informazioni: un certificato lega insieme alcuni valori (per un certificato "normale", questo è un nome e una chiave pubblica; per un certificato di attributo, il nome del titolare è legato ai valori degli attributi) e l'associazione è verificabile senza parlare con un repository online centrale. Questo è il significato della firma crittografica sul certificato: consentire la verifica offline o almeno semi-offline.

Il rovescio della verifica offline è che non c'è modo di immediatamente annullare un certificato. Esiste revoca , ma è di natura asincrona: quando un certificato viene revocato, questo diventa effettivo entro poche ore o giorni (a seconda della frequenza con cui vengono prodotti i CRL). L'asincronismo è esattamente ciò che non si desidera per l'autorizzazione: se si vuole bloccare qualcuno a causa di sospette attività dannose, si desidera farlo ora , non la prossima settimana.

È possibile effettuare la revoca sincrona facendo in modo che tutti i client ottengano ogni volta nuove informazioni di revoca, parlando con un server OCSP, ma questo elimina il motivo per cui si desiderava un certificato in primo luogo. L'intero scopo dell'utilizzo dei certificati è evitare di dover parlare con un server online ogni volta che è necessario disporre di alcune informazioni di autorizzazione.

Quindi, in sostanza, i certificati e le autorizzazioni non si combinano bene. Ciò rende abbastanza inutili i certificati di attributo RFC 5755 per l'autorizzazione. Corrispondentemente, non sono molto usati.

L'introduzione in RFC 5755 spiega l'uso previsto per i certificati di attributo. Copio del testo qui:

Some people constantly confuse PKCs and ACs. An analogy may make the distinction clear. A PKC can be considered to be like a passport: it identifies the holder, tends to last for a long time, and should not be trivial to obtain. An AC is more like an entry visa: it is typically issued by a different authority and does not last for as long a time. As acquiring an entry visa typically requires presenting a passport, getting a visa can be a simpler process.

In un'applicazione web avresti ancora bisogno di un certificato PK per l'autenticazione dell'utente e i certificati di attributo fornirebbero la gestione di autorizzazione / accesso. L'utente dovrebbe presentare entrambi per connettersi all'applicazione.

La lettura di RFC 5755 rivelerà alcuni altri casi d'uso. È vero che l'adozione è stata lenta e non è possibile trovare molti esempi effettuando ricerche online, ma i certificati di attributo vengono utilizzati dalle applicazioni di sicurezza.