Quali minacce e attenuazioni ci sono per una CA durante l'elaborazione di una CSR?

0

Domanda

Quali tipi di cattiveria / attacchi tecnici dovrei cercare in una Richiesta di certificato (CSR)?

Supponiamo che il parser ASN1 sia sicuro sulla CA . Sono strettamente interessato al processo di convalida dei dati della CSR.

Ulteriori informazioni

Supponiamo che la CA riceva il seguente CSR

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh
MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRMwEQYDVQQKEwpHb29nbGUgSW5jMR8w
HQYDVQQLExZJbmZvcm1hdGlvbiBUZWNobm9sb2d5MRcwFQYDVQQDEw53d3cuZ29v
Z2xlLmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEApZtYJCHJ4VpVXHfV
IlstQTlO4qC03hjX+ZkPyvdYd1Q4+qbAeTwXmCUKYHThVRd5aXSqlPzyIBwieMZr
WFlRQddZ1IzXAlVRDWwAo60KecqeAXnnUK+5fXoTI/UgWshre8tJ+x/TMHaQKR/J
cIWPhqaQhsJuzZbvAdGA80BLxdMCAwEAAaAAMA0GCSqGSIb3DQEBBQUAA4GBAIhl
4PvFq+e7ipARgI5ZM+GZx6mpCz44DTo0JkwfRDf+BtrsaC0q68eTf2XhYOsq4fkH
Q0uA0aVog3f5iJxCa3Hp5gxbJQ6zV6kJ0TEsuaaOhEko9sdpCoPOnRBm2i/XRD2D
6iNh8f8z0ShGsFqjDgFHyF3o+lUyj+UC6H1QW7bn
-----END CERTIFICATE REQUEST-----

La CA eliminerà le intestazioni e i piè di pagina "inizio / fine" e analizzerà i dati. Gli esseri umani possono ottenere un effetto simile qui .

Come puoi vedere, esiste un set di OID con i corrispondenti valori di printable string .

Il mio obiettivo è impedire l'escalation dei privilegi o gli attacchi di rappresentazione che potrebbero verificarsi con un CSR non valido.

    
posta random65537 09.02.2017 - 16:46
fonte

1 risposta

0

Di solito le CA non usano la CSR originariamente fornita e semplicemente la firmano. Invece estraggono e verificano solo le informazioni che vogliono includere nel certificato dal CSR (cioè chiave pubblica, oggetto ..), aggiungono alcune informazioni aggiuntive come scadenza, punto di distribuzione CRL, URL OCSP ecc. quindi firmano questa CSR appena creata. In questo modo la CA non ha bisogno di gestire OID o simili che non capisce in quanto tali informazioni non sono comunque incluse nel certificato generato. Ha solo bisogno di capire e verificare le parti che includerà dal CSR originale, cioè solo alcune parti. E queste parti di solito hanno una sintassi ben nota che può essere applicata, ad esempio un nome di dominio.

    
risposta data 09.02.2017 - 17:54
fonte