Modo percorribile per autenticare il certificato senza una rete di fiducia?

Question

Modo percorribile per autenticare il certificato senza una rete di fiducia?

#1 da (2 voti)

1

Per i certificati SSL abbiamo un principio di sicurezza del web. Se siamo autorizzati ad apportare modifiche al formato del certificato, ci sono modi praticabili per autenticare automaticamente o semi-automaticamente le informazioni del certificato in realtà sul proprietario senza una CA? Non è un'opzione per distribuire le chiavi in anticipo.

Finora mi sono imbattuto in password monouso dopo una stretta di mano, assicurandomi che fosse lo scopo di inviare questo OTP. Che dovrà essere restituito tramite un mezzo che consente la verifica, ad esempio messaggi di testo da un numero di cellulare noto.

Ci sono altri metodi?

Modifica Questa domanda non era specifica e aveva una terminologia mista, il che ha portato a una buona pratica per contrastarlo. Se sei interessato alla mia domanda originale, è stato riformulato qui: Metodi di autenticazione senza affidarsi a terze parti se non esplicitamente indicato

authentication certificates

posta Beanow 20.04.2012 - 15:58

fonte

1 risposta

Leggi altre domande sui tag authentication certificates

Accesso al router, sono in pericolo? Devo utilizzare il provider di servizi di crittografia di Windows per generare chiavi RSA?

score 2 · Accepted Answer

Questo è un po 'confuso. I certificati SSL non utilizzano il web-of-trust; usano le autorità di certificazione (CA). Fondamentalmente, le AC attestano che la chiave pubblica per www.example.com è tale e così. Il modello di web-of-trust è utilizzato da PGP ed è inteso come alternativa alle CA. Quindi, se vuoi certificati senza CA, puoi vedere come funziona il modello del web-of-trust, ma attenzione, non è chiaro che funzioni molto bene nella pratica.

Sembra che tu voglia fare in qualche modo senza CA. OK. Quindi, quali proprietà vuoi che i tuoi certificati garantiscano? Fondamentalmente, pensa a un certificato come a un'istruzione firmata: "Prometto che la chiave pubblica per www.example.com è 0xD6EF...1E2 , firmata, Verisign". Quando le parti coinvolte ricevono questo tipo di certificato, quella dichiarazione dice loro su cosa possono fare affidamento. Nel tuo nuovo mondo, cosa vuoi che i destinatari possano contare? E, se non vuoi avere un regalo di Verisign, chi verificherà che quelle promesse siano effettivamente vere?

In breve, ti suggerisco di pensare a cosa stai cercando di ottenere e quali garanzie di sicurezza stai cercando - quindi possiamo parlare di come ottenerli senza CA. Prova a scrivere su cosa vuoi che i destinatari possano fare affidamento (ignorando la crittografia), e chi sarà responsabile della verifica di quelle cose vere, e quindi potremo esaminare la tecnologia.