Convergencia: ¿un reemplazo de SSL?

22

Hoy, Moxie Marlinspike , un investigador de seguridad famoso por su investigación en Android y SSL y los protocolos relacionados (autor de sslstrip / sslsniff), lanzó "Convergence" que dice que es "un sustituto de autenticidad ágil para SSL" e intenta solucionar los problemas creados por la idea de Autoridades de Certificación confiables.

El sitio web que cuenta con un complemento de Firefox (código de cliente) y un notario (código de servidor) se encuentra aquí: enlace

También es de código abierto en github.

¿Cuáles son los pros y los contras de Convergence como reemplazo SSL?

    
pregunta nick 05.08.2011 - 03:39
fuente

3 respuestas

19

Para ser claros, explícitamente no es un reemplazo de SSL. Es un reemplazo para los CA, con el objetivo explícito de diseño de no forzar el despliegue de "cambiar el mundo" similar a IPv6 gigante. Se basa en gran parte en un trabajo anterior para resolver el problema de validación de la clave de host de SSH: consulte enlace

En Convergencia, hay una serie de servicios "Notarios" topológicamente distantes de la red, administrados por una diversa colección de diferentes organizaciones. Los certificados SSL (autofirmados) para cada uno de los puntos finales de Notario se incorporan al navegador. Cuando el navegador accede a un sitio https por primera vez, busca el certificado y luego llama a todos los Notarios de sus Notarios y dice "Fui a hablar con www.example.com:443 y recuperé este certificado SSL. Es ¿bueno?". Los notarios emiten un yay o nay. Si todos los notarios dicen "yay", el navegador almacena en caché el certificado hasta la fecha natural de vencimiento del certificado. En solicitudes posteriores a www.example.com:443, el navegador compara su caché con el certificado que acaba de recibir. Si hay una discrepancia, vuelve a marcar a los notarios. Dado que los sitios no realizan la rotación de certificados con tanta frecuencia, y los navegadores pueden realizar un almacenamiento en caché de certificados superagresivo (y los certificados con rotación de claves se invalidan de forma limpia desde la memoria caché), no es una solución inherentemente inescalable.

Los notarios son libres de establecer la política que quieran para lo que constituye un certificado bueno o malo. Los sugeridos son el "sitio de encuesta de los servidores de Notary", "Notary consulta el Observatorio de certificado SSL EFF", "Notary comprueba qué cert está archivado en DNSSEC", o incluso "Notary realiza la validación de CA tradicional".

Creo que es la solución más intrusiva para el problema de CA. Además de convencer a MS / Apple / Google / Mozilla para que saltara sobre él (y el problema de Citibank), hubo dos problemas que me molestaron.

El primero es el de los portales cautivos (por ejemplo, wifi del aeropuerto o del hotel). Pasó la mano un poco, y propuso usar el DNS como protocolo alternativo para comunicarse con los notarios. Pero, hay numerosos portales cautivos que solo comen registros de DNS distintos de A & CNAME.

En segundo lugar, ¿cuál es el incentivo financiero para dirigir un notario? Para escalar, tendrá que haber toneladas de estas cosas. Es posible que algunas organizaciones se queden sin la bondad de sus corazones, al igual que las raíces de DNS, pero creo que la arquitectura de DNS se amplía un poco mejor que la convergencia.

    
respondido por el LValue 05.08.2011 - 06:14
fuente
4

Con respecto a PKI a través de DNSSEC, Moxie se refirió a por qué eso es aún peor que la confianza central de las AC. Hay un poco más sobre eso disponible aquí: enlace

Otro cartel preguntó sobre el incentivo financiero para dirigir un notario. Considere todos los certificados SSL firmados comprados cada año. Algunas organizaciones gastan miles en certificados SSL. Si cada una de esas organizaciones tuviera un notario, su problema de incentivos financieros se resolvería simplemente no teniendo que pagar las tarifas de firma de SSL.

No tengo una respuesta para los portales cautivos ... para empezar, esos son simplemente molestos.

    
respondido por el Dop 10.08.2011 - 05:49
fuente
3

Esto se hace obsoleto por el hecho de que las PKI pronto se implementarán basadas en DNSSEC. Luego obtiene su certificado de DNS, firmado por la autoridad de DNS, que a su vez puede vincularse a los servidores raíz. Tal vez finalmente obtengamos un P'n'P PKI gratis con eso. Dado que DNSSEC no utiliza X509, esta también sería la oportunidad de deshacerse de él. Solo agregue los tipos de clave SPKI a TLS y migre lentamente hacia afuera.

    
respondido por el pepe 05.08.2011 - 09:29
fuente

Lea otras preguntas en las etiquetas