Che cosa sono i certificati di attributo? Perché qualcuno dovrebbe partizionare un certificato con codici di motivazione?

3

In " Come funziona la revoca dei certificati " una breve menzione di La partizione Codice attributo e Codice motivazione è stata creata:

If validated by a client that supports partitioned and indirect CRLs, the IDP extension enables the client to determine the necessary scope of a CRL when a CA certificate is renewed or re-keyed. For Windows Server CAs, the IDP extension can limit revocation information in a CRL to only end-entity certificates or to CA certificates. CryptoAPI does not support attribute certificates or partitioning CRLs by reason codes.

Che cosa sono i certificati di attributo in questo contesto, quali sono i codici di motivazione qui?

Questa è una nuova tecnologia o è qualcosa che solo le CA sperimentali, costose o rare offrono?

    
posta random65537 02.06.2012 - 05:19
fonte

1 risposta

1

Controllo dello stato e revoca dei certificati discute alcune di queste opzioni.

Il partizionamento

Anche se non so perché si debba partizionare un certificato, c'è qualche problema di supporto interessante per quanto riguarda i client ei server Windows. Le CA di Windows non supportano l'emissione di CRLS partizionati.

Quando il sistema crittografico di Windows verifica un certificato, controlla solo IssuingDistributionPoint valori di onlyContainsUserCerts o only ContainsCACerts . Nessun altro campo è supportato. Inoltre, HoldInstructionCode , InvalidityDate , CertificateIssuer o IssuerAltName estensioni saranno ignorati se non critici, o falliscono se marcati critici come da RFC 3280.

Inoltre in Windows, i campi "onlySomeReasons" e "indirectCRL" dell'IDP non sono supportati.

Codici motivo CRL

Il processo di revoca invalida un certificato prima della sua data di validità finale utilizzando uno dei codici motivo CRL.

Nota Windows non supporta gli CRL di partizionamento in base al codice di errore come server o client. Non ho ulteriori informazioni su quale software supporta il partizionamento (come server o client) o perché ne avresti bisogno

Quando un certificato viene revocato, è possibile che un emittente del certificato specifichi perché è stata intrapresa l'azione. Questo viene fatto specificando un motivo di revoca; questi motivi sono definiti da RFC 3280 e includono quanto segue:

  • Compromissione della chiave Il token o la posizione del disco in cui la chiave privata associata al certificato è stata compromessa ed è in possesso di una persona non autorizzata. Questo può includere il caso in cui un laptop viene rubato o una smart card è persa.

  • Compromissione della CA Il token o la posizione del disco in cui è memorizzata la chiave privata della CA è stato compromesso ed è in possesso di una persona non autorizzata. Quando viene revocata la chiave privata di una CA, ciò comporta che tutti i certificati emessi dalla CA firmati utilizzando la chiave privata associata al certificato revocato siano considerati revocati.

  • Modifica dell'affiliazione La relazione dell'utente con l'organizzazione è stata interrotta, indicata nell'attributo DN del certificato. Questo codice di revoca è più spesso usato quando un individuo è terminato o si è dimesso da un'organizzazione. Non è necessario revocare un certificato quando un utente cambia reparto, a meno che i criteri di sicurezza non richiedano l'emissione di un certificato diverso da parte di una CA dipartimentale.

  • Sostituito Un certificato sostitutivo è stato rilasciato a un utente e il motivo non rientra nei motivi precedenti. Questo motivo di revoca viene spesso utilizzato quando una smart card non funziona, la password di un token viene dimenticata da un utente o il nome legale dell'utente è cambiato.

  • Cessazione dell'operazione Se una CA viene dismessa, non più utilizzata, il certificato della CA deve essere revocato con questo codice motivo. Non revocare il certificato della CA se la CA non emette più nuovi certificati, ma continua a pubblicare CRL per i certificati attualmente emessi.

  • Certificate Hold Una revoca temporanea che indica che una CA non garantisce un certificato in un momento specifico. Una volta che un certificato viene revocato con un codice motivo CertificateHold, il certificato può essere revocato con un altro codice motivo o non revocato e restituito per l'uso.

Nota Mentre CertificateHold consente a un certificato di essere "non revocato", non è consigliabile mettere una sospensione su un certificato, poiché diventa difficile determinare se un certificato è valido per un tempo specifico.

  • RemoveFromCRL Se un certificato viene revocato con il codice motivo CertificateHold, è possibile "annullare la chiamata" di un certificato. Il processo non revocativo elenca ancora il certificato nel CRL, ma con il codice motivo impostato su RemoveFromCRL. Questo è specifico per il motivo CertificateHold e viene utilizzato solo in DeltaCRL.

  • Non specificato Mentre è possibile revocare un certificato con il codice motivo "Non specificato", non è raccomandato, in quanto non fornisce un audit trail sul motivo per cui un certificato è stato revocato.

risposta data 02.06.2012 - 16:55
fonte