Certificados de atributos y gestión de acceso

En real la vida real, los certificados de atributo no funcionan. Nadie realmente los apoya. Una de las razones es que los certificados son, por definición, un método de distribución asíncrono para información: un certificado une algunos valores (para un certificado "normal", este es un nombre y una clave pública; para un certificado de atributo, el nombre del titular está vinculado a los valores de los atributos) y el enlace es verificable sin tener que hablar con un repositorio central en línea. De esto se trata la firma criptográfica en el certificado: para permitir la verificación fuera de línea o al menos semi-fuera de línea.

La otra cara de la verificación fuera de línea es que no hay forma de inmediatamente cancelar un certificado. Hay revocación , pero es de naturaleza asíncrona: cuando se revoca un certificado, esto se hace efectivo en unas pocas horas o días (según la frecuencia con la que se produzca la CRL). El asincronismo es exactamente lo que no desea para la autorización: si desea bloquear a alguien debido a una actividad maliciosa sospechosa, desea hacerlo ahora , no la próxima semana.

Es posible hacer una revocación sincrónica al hacer que todos los clientes obtengan información nueva de revocación cada vez, hablando con un servidor OCSP, pero esto anula la razón por la que quería un certificado en primer lugar. El objetivo de usar certificados es evitar tener que hablar con un servidor en línea cada vez que necesite información de autorización.

Entonces, básicamente, los certificados y la autorización no se combinan bien. Esto hace que los certificados de atributo RFC 5755 para la autorización sean absolutamente inútiles. En consecuencia, no son muy utilizados.

La introducción en RFC 5755 explica el uso previsto para los certificados de atributos. Aquí copio un texto:

  

Algunas personas confunden constantemente PKCs y ACs. Una analogía puede hacer   La distinción clara. Un PKC puede ser considerado como un   pasaporte: identifica al titular, tiende a durar mucho tiempo,   y no debe ser trivial de obtener. Un AC es más como una entrada.   visa: normalmente es emitida por una autoridad diferente y no   durar tanto tiempo. Como adquirir una visa de entrada normalmente   Requiere presentar un pasaporte, obtener una visa puede ser más simple   proceso.

En una aplicación web, todavía necesitaría un Certificado PK para la autenticación del usuario y los Certificados de Atributos proporcionarían la administración de autorización / acceso. El usuario tendría que presentar ambos para conectarse a la aplicación.

La lectura del RFC 5755 revelará otros casos de uso. Es cierto que la adopción ha sido lenta y no se pueden encontrar muchos ejemplos al buscar en línea, pero las aplicaciones de seguridad están utilizando los Certificados de Atributos.