TLS con no repudio; ¿Qué pasó con 'TLS Sign'?

5

El signo TLS se propuso como un Borrador de IETF en junio de 2007 .

No he encontrado más información, además de que el borrador expiró en noviembre de 2007. ¿Puede alguien decirme qué sucedió con esta extensión o alguien puede indicarme una extensión, o un mecanismo que no permita el rechazo de las conexiones TLS?

    
pregunta codebold 24.02.2014 - 12:04
fuente

2 respuestas

2

No encuentro ningún borrador más allá del último (caducado desde junio 2008). No tengo conocimiento de ninguna implementación existente. De todos modos, el borrador está incompleto e inconsistente (por ejemplo, el tipo ContentFormat se define dos veces, con distintos valores incompatibles; el valor tls_sign no está definido) y está bastante mal explicado (por lo que puedo ver, no dice en ninguna parte qué está realmente firmado).

De todos modos, no repudio es un concepto legal. puede depender de algunos elementos tecnológicos, como firmas y certificados criptográficos, pero estos elementos no pueden garantizar la no repudio por sí solos. Para obtener realmente el no repudio, debe seguir lo que dice el sistema legal local sobre el no repudio. Cuando tales leyes existen, invariablemente insisten en la idea de que quien esté firmando debe conocer lo que está firmando. Por lo tanto, las firmas para el no repudio realmente no pueden existir como una función independiente de la aplicación, que era el objetivo de ese borrador y su razón de ser como una extensión TLS. En ese sentido, el borrador fue inútil, lo que explica por qué no dio como resultado un RFC completo.

(La inutilidad no siempre puede evitar que las características se conviertan en RFC, pero aún puede desviar la motivación de quién está escribiendo. Escribir un RFC publicable es mucho trabajo, en particular trabajo editorial, que no sucederá a menos que El autor está realmente convencido de que vale la pena el esfuerzo.)

    
respondido por el Thomas Pornin 07.10.2014 - 20:43
fuente
0

No conozco el signo TLS, pero si tuviera que aventurarme a adivinarlo, probablemente se eliminó porque la PKI proporciona un cierto nivel de no repudio a través de los CA. TLS es un protocolo de cifrado, su propósito principal es el cifrado. En general, el no repudio se considera un servicio separado en estos aspectos.

Los certificados digitales son lo que usamos normalmente para el no repudio estándar, proporciona una plataforma común para que dos partes desconocidas confíen en que las conexiones legítimas entre sí.

Una compañía, por ejemplo, debe registrar su Certificado con una CA, las empresas que pasan por algún tipo de validación para establecer la legitimidad de la compañía diciendo quiénes son. Una vez que se emite un certificado, un usuario puede verificar un certificado presentado con las CA confiables y saber que la conexión que están estableciendo es una conexión segura con una compañía que ha superado su análisis.

Dado que esto puede durar mucho tiempo, sé que hay preocupaciones con respecto a qué tan buena es la PKI y la seguridad de las autoridades de certificación.

El no repudio es bueno, pero TLS no está enfocado en eso. Usamos la PKI con TLS para proporcionar tanto el cifrado como el no rechazo, si está buscando un mayor grado de no repudio (como asegurar que un determinado usuario o empresa envíe un archivo) TLS no sería el lugar correcto en mi mente.

-Editar tipografías y aclaraciones

    
respondido por el Shane Andrie 07.10.2014 - 18:30
fuente

Lea otras preguntas en las etiquetas