En pocas palabras, uno de los objetivos de U-Prove es proporcionar algún tipo de anonimato (en sus palabras, "evitar el seguimiento de usuarios no deseados"). Esto hace que la revocación sea más difícil. En un contexto X.509, donde no hay anonimato de usuario (un certificado contiene el nombre del propietario en palabras sencillas), la revocación es simple: la autoridad que decide quién es revocado y quién no es simplemente emite declaraciones firmadas sobre el estado de revocación de un certificado dado Puede ser una respuesta OCSP , que habla de un solo certificado, o una CRL , que enumera todos el certificado revocado (de un emisor o conjunto de emisores determinado), y por lo tanto, enumera implícitamente todos los certificados revocados también.
Si intentas hacer lo mismo en U-Prove, entonces has inventado una forma de rastrear a los usuarios, y eso no es bueno. Por lo tanto, la revocación en U-Prove debe usar protocolos más complejos, por ejemplo, Un acumulador criptográfico. Principalmente, esto permite que cada propietario de token calcule una prueba verificable de que un token no fue revocado en un momento dado, sin abrir la posibilidad de rastrear al propietario del token. La revocación aún es afirmada por una autoridad especializada, por lo que debe haber alguna comunicación regular de la autoridad a los propietarios del token; estos son los testigos . Cada propietario del token debe obtener un nuevo testigo de la autoridad, para poder calcular la prueba verificable de que el token específico no se revoca en algún momento.
Esta no es una optimización sobre X.509 CRL / OCSP. En un mundo X.509, cada propietario de certificado puede obtener una nueva respuesta de OCSP de la CA y luego mostrar esa respuesta a terceros. ; esto imita el sistema de propagación de testigos pero con elementos más cortos y menos costo de CPU. Además, en X.509, no es necesario que el titular del certificado esté involucrado en absoluto; Cada entidad que quiera validar un certificado puede obtener la respuesta de CRL o OCSP directamente de la CA.
En otras palabras, los acumuladores criptográficos no hacen que la revocación clásica sea más eficiente. De hecho, lo hacen menos eficiente. Pero agregan una nueva función, que es la posibilidad de mantener la revocación mientras persigue un objetivo de anonimato sin seguimiento. Este objetivo no tiene sentido en X.509. Por lo tanto, no hay acumuladores criptográficos en X.509. Usted podría intentar diseñar e implementar un sistema de revocación para X.509 que use el acumulador criptográfico, pero no proporcionaría una función adicional y solo haría el sistema más complejo, costoso y restringido.
(En pocas palabras, no hay un esquema de revocación para X.509 que use acumuladores criptográficos porque sería una estupidez. Sería como agregar un tanque de gasolina adicional para alimentar un carro tirado por caballos: no ayuda a los caballos a ir más lejos, aunque hubiera ayudado si los caballos no hubieran sido caballos, sino un motor de combustión.)