¿Cómo se desconecta una CA raíz? [duplicar]

2

Me han dicho que una CA raíz mantiene sus claves públicas / privadas totalmente fuera de línea. No estoy seguro de cómo funciona esto con la cadena de confianza:

  1. La CA raíz firma el certificado de CA2, verificando la clave pública de CA2
  2. CA2 firma el certificado de Bob, verificando la clave pública de Bob
  3. Bob usa su clave privada para enviar un mensaje a Alice e incluye su certificado
  4. Alice quiere asegurarse de que el mensaje venga de Bob y que se pueda confiar en Bob
  5. Alicia confía en la CA raíz
  6. Alice usa la clave pública de CA2 para verificar que el certificado de Bob era de confianza para CA2
  7. No estoy seguro : ¿cómo sabe Alice que puede confiar en CA2 sin verificar el certificado de CA2 con la clave pública de la entidad emisora raíz?
  8. Alice ahora confía en que el certificado de Bob es de confianza y puede usar la clave pública de Bob, que se encuentra dentro, para validar que el mensaje no ha sido manipulado.
pregunta anon 06.12.2016 - 05:48
fuente

4 respuestas

1
  

Me han dicho que una CA raíz mantiene sus claves públicas / privadas totalmente fuera de línea.

No es una cuestión de en línea frente a fuera de línea, sino de secreto frente a público. La clave privada se mantiene privada como sugiere su nombre, es decir, solo la conoce la CA. El público es público como lo sugiere su nombre y está incluido en el certificado público. Este certificado se instala en cada cliente como raíz de confianza. En la medida en que la clave pública de la CA raíz no se transfiere durante el protocolo de enlace TLS (es decir, se mantiene fuera de línea) porque el cliente ya tiene una copia de la misma y la utiliza como un ancla de confianza. Pero como el certificado se conoce públicamente de todos modos, no importa si se transfiere a través de Internet (en línea). Aún así, el cliente solo debe usar la CA de confianza local como ancla de confianza y no una CA aleatoria transferida a través de Internet.

    
respondido por el Steffen Ullrich 06.12.2016 - 07:09
fuente
1

Según lo explicado por StephenUllrich, el certificado de la CA raíz que contiene la clave pública se hace público para permitir la validación de la cadena de certificados. Pero la clave privada raíz es un material altamente sensible, ya que puede validar otros certificados (generalmente certificados intermedios) y se usa para revocarlos si llegan a estar comprometidos. El problema es que es difícil de revocar (¿quién podría firmar la Lista de revocación de certificados?). Por esa razón, las mejores prácticas recomiendan almacenarlo sin conexión en una caja de seguridad física para que sea inaccesible a los ataques remotos.

    
respondido por el Serge Ballesta 06.12.2016 - 08:20
fuente
0
  

¿Cómo sabe Alice que puede confiar en CA2 sin verificar el certificado de CA2 con la clave pública de Root CA?

Se supone que Alice tiene la clave pública de Root CA. Es la clave privada de Root CA que está fuera de línea.

    
respondido por el DepressedDaniel 06.12.2016 - 05:51
fuente
0

Si te entiendo correctamente, tu pregunta principal es dónde comienza la confianza, o en otras palabras, por qué / cómo debe Alicia confiar en la entidad emisora de certificados raíz en primer lugar. En el siguiente enlace puede ver una descripción de cómo se hace en los navegadores: Obtención de una CA raíz aceptada en sistemas y navegadores

En términos simples, acepta el certificado raíz como de confianza. Mientras navega por Internet, su navegador favorito lo hace por usted. Si construye su propio sistema, entonces decide quién es la autoridad raíz.

Ya que todos pueden confiar en la CA raíz ahora, también puede mantenerse fuera de línea, ya que no está participando activamente en ninguna verificación de firmas digitales. Solo su clave pública es conocida por todos, de modo que la confianza puede propagarse.

Es tentador encontrar ejemplos de la vida real de cómo funciona esto también. Por ejemplo, considere una manada de lobos. Siempre hay un líder que puede presentar nuevos miembros y todos los demás miembros del grupo confían en él. Este lobo puede ser el CA raíz en tu caso. Incluso si el lobo líder se ha ido a cazar (modo fuera de línea), el paquete todavía está unido y continúa confiando el uno en el otro.

    
respondido por el thegreatdandolos 06.12.2016 - 09:05
fuente

Lea otras preguntas en las etiquetas