Extender PKI jerárquica

Question

Extender PKI jerárquica

Navega tus respuestas

#1 de StackzOfZtuff (1 votos)
#2 de CristianTM (0 votos)

4

La siguiente figura muestra cuatro PKI jerárquicas simples. A , R , H y N son anclajes de confianza de su PKI.

Se supone que debo agregar exactamente un certificado para que T confíe en G , pero no en D . Además, R no debe confiar en P . Primero pensé en dejar que C certifique G , pero la solución propone un certificado de C para P .

Si C certifica P , existe una ruta desde R a P . P se convierte en un hijo de R . Por lo tanto, R debería confiar en P . Pero ¿por qué no es así?
Se busca otro certificado para que D confíe en J y L , pero no en K . Además, N no debe confiar en B .

Al introducir un certificado de D a B , D confiará en J y L pero no en K . El mismo momento en que surge la confianza de N a J y L (porque hay una ruta de certificación). Entonces, ¿cómo se puede resolver esta tarea?

public-key-infrastructure

pregunta null 11.07.2015 - 09:18

fuente

2 respuestas

Lea otras preguntas en las etiquetas public-key-infrastructure

Proteger el sitio web de IIS de escrituras no autorizadas descifrando contraseñas de krb5 (des3-hmac-sha1 y des-cbc-crc) [cerrado]

score 1 · Answer 1

Tengo la sensación de que esto es realmente un rompecabezas de la teoría de gráficos. - Me gustan un poco esos. - Pero esto es muy diferente de una implementación real de PKI.

De todos modos: esto es lo que podrías hacer en una PKI real:

Se supone que debo agregar exactamente un certificado para que T confíe en G, pero no en D.

Agregue G a la lista de T de sitios de confianza.

Se busca otro certificado para que D confíe en J y L, pero no en K

Agregue J y L (o simplemente B) a la lista de sitios de confianza de T.

score 0 · Answer 2

Si entiendo bien, las entidades "hoja" son certificados de entidad final, que confían solo en su propio ancla de confianza PKI, pero necesitan comunicarse con entidades finales de otras PKI sin cambiar su configuración de ancla de confianza . Por lo tanto, utilizando sólo la certificación cruzada.

Se supone que debo agregar exactamente un certificado para que T confíe en G, pero no D. Además, R no debe confiar en P.

En otras palabras, T debe considerar G válido, pero no D. R tampoco debe considerar P válido (esa parte es un poco extraña, pero entiendo que R confía solo en sí mismo).

Primero pensé en dejar que C Certifique G, pero la solución propone un certificado de C para P.

Si C certifica G, generaría un G´ (un certificado diferente para la misma entidad). Si C certifica P, generaría un P 'que aún podría validar G. G, confiando en C, confiaría en P'.

Si C certifica P, existe una ruta de R a P. P se convierte en un hijo de R. Por lo tanto, R debería confiar en P. Pero, ¿por qué no es así?

P no es un hijo de C o R, pero P '. Por lo tanto, R no confía en P (ni G ni C). R también confiará en G, si te estás preguntando.

Se busca otro certificado para que D confíe en J y L, pero   no K. Además, N no debe confiar en B.

Al introducir un certificado de D a B, D confiará en J y L, pero   no K. Al mismo tiempo surge la confianza de N a J y L (porque allí   es una ruta de certificación). Entonces, ¿cómo se puede resolver esta tarea?

Ya que se parece a la tarea, te dejaré que te la resuelva, ya que con la ampliación del otro elemento parece más fácil de entender este.