PKI: Diferencia entre CPS y CP

3

RFC3647 describe la diferencia entre un CPS y un CP de la siguiente manera:

  

Por lo tanto, las principales diferencias entre CP y CPS pueden resumirse   como sigue:

     
  • Una PKI usa un CP para establecer requisitos que establecen qué deben hacer los participantes dentro de ella. Una sola CA u organización puede usar un CPS para revelar cómo cumple con los requisitos de un CP o cómo implementa sus prácticas y controles.
  •   
  • Un CP facilita la interoperación mediante certificación cruzada, certificación unilateral u otros medios. Por lo tanto, está destinado a cubrir múltiples CAs. Por el contrario, un CPS es una declaración de una única CA u organización. Su propósito no es facilitar la interoperación (ya que hacerlo es la función de un PC).
  •   
  • Una CPS es generalmente más detallada que una CP y especifica cómo la CA cumple los requisitos especificados en la una o más CP bajo las cuales emite certificados.
  •   

Hay una oración que tiene sentido para mí en la explicación anterior:

  

Una sola CA u organización puede usar un CPS para revelar cómo cumple con la    requisitos de un CP

Si entiendo eso correctamente, el CP establece los requisitos generales (por ejemplo, debe validar la propiedad del dominio antes de emitir un certificado), y el CPS menciona cómo lo hace en la práctica (por ejemplo, al verificar los registros de DNS en busca de un token). El PC podría incluso haber dado esa práctica como ejemplo ya.

Entonces, como un CP y un CPS están en su mayoría escritos por la misma CA, no tiene mucho sentido para mí dividirlos. Si menciono en el CP que la propiedad debe ser validada y que esto podría hacerse revisando los registros DNS en busca de un token, entonces el CPS probablemente contendrá exactamente la misma información. Podría ser capaz de entender el uso de tener un CPS y un CP en caso de que una CA tenga raíces separadas, cada una de las cuales podría tener un CPS diferente, basado en el mismo CP.

Comparé el CPS de Let's Encrypt con su CP , y encontré que el CP es un poco más genérico y aborda algunos temas que no se tratan en el CPS, pero también el otro camino alrededor.

  • ¿Puede alguien explicar cuál es el valor real de tener un CPS y un CP? es, cuando están escritos por la misma CA, y si sería o no ¿Sería una buena práctica escribir solo un CPS en ese caso?
  • ¿No debería haber un CP estándar global, que todas las CA puedan usar para basar su CPS?
pregunta Michael 02.06.2017 - 10:23
fuente

2 respuestas

3

El CP describe cuáles son los requisitos. El CPS describe cómo se cumplen esos requisitos.

Por ejemplo, el CP puede requerir que la CA raíz esté configurada de modo que requiera la presencia de dos personas de departamentos separados para ponerlo en línea. Luego, el CPS debe describir cómo se logra esto: manteniéndolo en una instalación segura que requiera dos claves separadas, o al ingresar dos frases de contraseña separadas, o al requerir dos tarjetas inteligentes separadas. Si necesita cambiar la forma en que se opera la CA, por ejemplo. cuando necesite cambiarse a una nueva instalación con diferentes reglas de acceso, o cuando cambie a un nuevo sistema operativo, es posible que deba volver a escribir el CPS, pero no debería modificar el CP.

Además, aunque ambos documentos pueden estar escritos por la misma organización, es decir, la entidad que ejecuta la CA, recomiendo encarecidamente que estén escritos por partes separadas de la organización. Para un sistema PKI confiable, la separación de funciones es esencial, y no solo en las operaciones, sino también en la supervisión. Las personas que dirigen la CA deben ser supervisadas por otro departamento, cuyo trabajo es establecer los estándares y verificar que las operaciones cumplan con esos estándares. Si las mismas personas hacen ambas cosas, se están supervisando a sí mismas de manera efectiva, en otras palabras, no tienen ninguna supervisión. Como consultor, a veces me piden que escriba ambos documentos, y siempre recomiendo encarecidamente que no lo haga. Prefiero que mi cliente traiga a un competidor para hacer uno de ellos, o al menos, para verificar mi trabajo, en lugar de arriesgarme a que yo sea el que escriba las condiciones y las cumpla.

    
respondido por el Jenny D 26.07.2017 - 15:16
fuente
2

Permítame comenzar replanteando lo que ya se conoce:

  

CP establece la Política y   CPS describe la práctica (cómo se implementa la política)

Según el RFC, la Política (CP) debe indicar a) qué requisitos se cumplen y b) qué reglas se aplicarán para cumplirlos. Se pretende que sea de alto nivel. Para determinar si un certificado en particular cumplirá con ciertos requisitos comerciales y si puede "interoperar" con otro certificado cuyo CP sea similar / igual.

La Declaración de Práctica (CPS) debe entrar en detalles, ampliando cómo se implementa. No puede desviarse de la PC, pero puede aclarar cualquier ambigüedad potencial, especialmente w.r.t. implementación.

  

¿Puede alguien explicar cuál es el valor real de tener tanto un CPS como un CP, cuándo están escritos por la misma CA y si sería o no una buena práctica escribir solo un CPS en ese caso?

Si estuviera tratando de elegir un certificado (PKI para ser precisos) para las necesidades de mi negocio, el CP sería el documento más adecuado para consultar, ya que se refiere a la aplicabilidad a los fines.

Si fuera una nueva CA que intentara obtener la mayor aceptación posible lo más rápido posible, identificar a propósito común y compatible PKI sería importante, y para esta CP es la más importante documento adecuado para referirse.

También podría inferir esto del CPS, pero eso sería más incómodo y si el CPS no hace una mención explícita de una regla o propósito, lo hará probablemente sea inexacto.

Por lo tanto, mi opinión es: Sí, solo un CPS podría ser suficiente, pero solo si hace una mención explícita del propósito, la aplicabilidad y las reglas, eliminando así las conjeturas trabajo. Si lo hace, tal vez esa sección también podría denominarse Sección CP, y eso significa que estamos de vuelta en el lugar donde estamos.

  

¿No debería haber un CP estándar global, que todas las CA puedan usar para basar su CPS?

Caballos para cursos. Después de que el estándar fue escrito, varios propósitos comunes evolucionaron. Entonces, en retrospectiva, podríamos tener algunos conjuntos de CP estándar globales, sin descartar nuevos tipos de PKI.

Los organismos de normalización siempre están luchando por lo estrictos que deben ser los estándares, para no sofocar la innovación. Estándares más estrictos = más interoperabilidad, pero también más presión para el cumplimiento porque cada innovación potencial también puede verse como una desviación del estándar. No detendrá la innovación por completo, pero seguramente la dificultará. Por esta razón, creo que estaba bien cuando se escribió el estándar. Tal vez la falta de un estándar global en esta área no esté afectando tanto incluso ahora. Pero esa es solo mi opinión.

    
respondido por el Sas3 26.07.2017 - 14:46
fuente

Lea otras preguntas en las etiquetas