La pinzatura OCSP può ridurre o eliminare le debolezze intrinseche a OCSP? [chiuso]

-2

In particolare, i problemi con OCSP che Adam Langley parla di qui?

    
posta user53029 03.08.2014 - 18:36
fonte

1 risposta

1

La revoca dovrebbe essere eseguita se è incluso un certificato. In questo caso il proprietario valido del certificato non lo utilizzerà più. I controlli di revoca dovrebbero quindi assicurarsi che anche l'attaccante non possa utilizzarlo su connessioni intercettate.

Langley descrive un attacco, in cui l'attaccante non è solo in grado di reindirizzare l'utente al server degli attaccanti con il certificato compromesso, ma anche di bloccare o manipolare qualsiasi altra connessione dalla vittima e quindi fare in modo che le richieste OCSP per il controllo di revoca falliscano con errori temporanei.

La pinzatura OCSP non è di aiuto in questo caso. Il server con il certificato compromesso è di proprietà dell'aggressore, pertanto l'attaccante non eseguirà la pinzatura OCSP, ovvero non invierà una risposta OCSP all'interno dell'handshake SSL. Questo costringerà la vittima a provare con le normali query OCSP e torneremo all'attacco di Langley.

OCSP sarà sicuro solo se il client continuerà solo se riceve una risposta valida dal server che dice che il certificato è ok e se il client può verificare con successo la firma della risposta. Questo è lo stesso con e senza pinzatura OCSP. La pinzatura OCSP accelera solo i controlli di revoca perché salva una richiesta HTTP aggiuntiva per il controllo OCSP.

    
risposta data 03.08.2014 - 19:08
fonte

Leggi altre domande sui tag