Certificados de atributos y gestión de acceso

4

Hace poco me encontré con Certificados de Atributos (RFC 5755), que se pueden utilizar como un medio de autorización.

Me gusta la idea, pero he pasado mucho tiempo buscando información sobre cómo funciona esto en la vida real. Entiendo el propósito de los certificados de atributos, pero no veo cómo se puede usar.

Por ejemplo, tengo una aplicación web. ¿Cómo puedo usar certificados de atributos para la gestión de acceso en aplicaciones web? Debe haber algo en la capa de autorización de una aplicación web que pueda funcionar con certificados de atributo. ¿Cómo se logra esto? No puedo encontrar ningún ejemplo en aplicaciones web reales.

Además, ¿existen herramientas de administración de acceso que admitan certificados de atributos que puedan proporcionar certificados de atributos junto con la autoridad de atributos? Puedo encontrar proyecto PERMIS pero parece estar obsoleto y ya no es útil.

Me gustaría ver la aplicación real de los certificados de atributos para la gestión de acceso, no la teoría o los posibles casos de uso.

    
pregunta user1563721 28.09.2015 - 19:19
fuente

2 respuestas

5

En real la vida real, los certificados de atributo no funcionan. Nadie realmente los apoya. Una de las razones es que los certificados son, por definición, un método de distribución asíncrono para información: un certificado une algunos valores (para un certificado "normal", este es un nombre y una clave pública; para un certificado de atributo, el nombre del titular está vinculado a los valores de los atributos) y el enlace es verificable sin tener que hablar con un repositorio central en línea. De esto se trata la firma criptográfica en el certificado: para permitir la verificación fuera de línea o al menos semi-fuera de línea.

La otra cara de la verificación fuera de línea es que no hay forma de inmediatamente cancelar un certificado. Hay revocación , pero es de naturaleza asíncrona: cuando se revoca un certificado, esto se hace efectivo en unas pocas horas o días (según la frecuencia con la que se produzca la CRL). El asincronismo es exactamente lo que no desea para la autorización: si desea bloquear a alguien debido a una actividad maliciosa sospechosa, desea hacerlo ahora , no la próxima semana.

Es posible hacer una revocación sincrónica al hacer que todos los clientes obtengan información nueva de revocación cada vez, hablando con un servidor OCSP, pero esto anula la razón por la que quería un certificado en primer lugar. El objetivo de usar certificados es evitar tener que hablar con un servidor en línea cada vez que necesite información de autorización.

Entonces, básicamente, los certificados y la autorización no se combinan bien. Esto hace que los certificados de atributo RFC 5755 para la autorización sean absolutamente inútiles. En consecuencia, no son muy utilizados.

    
respondido por el Tom Leek 28.09.2015 - 19:50
fuente
1

La introducción en RFC 5755 explica el uso previsto para los certificados de atributos. Aquí copio un texto:

  

Algunas personas confunden constantemente PKCs y ACs. Una analogía puede hacer   La distinción clara. Un PKC puede ser considerado como un   pasaporte: identifica al titular, tiende a durar mucho tiempo,   y no debe ser trivial de obtener. Un AC es más como una entrada.   visa: normalmente es emitida por una autoridad diferente y no   durar tanto tiempo. Como adquirir una visa de entrada normalmente   Requiere presentar un pasaporte, obtener una visa puede ser más simple   proceso.

En una aplicación web, todavía necesitaría un Certificado PK para la autenticación del usuario y los Certificados de Atributos proporcionarían la administración de autorización / acceso. El usuario tendría que presentar ambos para conectarse a la aplicación.

La lectura del RFC 5755 revelará otros casos de uso. Es cierto que la adopción ha sido lenta y no se pueden encontrar muchos ejemplos al buscar en línea, pero las aplicaciones de seguridad están utilizando los Certificados de Atributos.

    
respondido por el pgianna 27.10.2016 - 10:43
fuente

Lea otras preguntas en las etiquetas