Confiar en las autoridades de certificación

Question

Confiar en las autoridades de certificación

#1 de Thomas Pornin (1 votos)

1

Si yo, como lego, no me equivoco, hay controles bancarios, tanto internos como nacionales descuidos, del trabajo realizado por los empleados. Estos son aparentemente efectivos, ya que la Los detalles de las transacciones pueden ser auditados y verificados a partir de grabaciones. ¿Existen controles esencialmente comparables del trabajo de los empleados involucrados en firmas digitales, teniendo en cuenta también el hecho de que en muchos casos más de una AC están involucradas en una transacción?

Acabo de encontrar un artículo interesante sobre firmas digitales: D. Adamski et al .: Por qué fallan las firmas digitales - Conceptos legales para la validez a largo plazo en Austria, Alemania y Polonia, en AU Schmidt et al., a largo plazo y dinámica Aspectos de la información, pp. 113-124, Nova Sci. Publ., 2007.

public-key-infrastructure digital-signature trust

pregunta Mok-Kong Shen 20.06.2014 - 08:40

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure digital-signature trust

ESET detectó conexión entrante a Rundll32 Kali linux aircrack

score 1 · Answer 1

Consulte Webtrust para obtener una introducción sobre lo que generalmente se hace con CA.

Un punto central es que en muchos países, los bancos deben cumplir con las regulaciones vigentes aplicadas por administraciones dedicadas. Tales regulaciones y sistemas aún son incipientes en el caso de las autoridades de certificación y las firmas digitales; Así que la situación aún no está aclarada. Se puede esperar que los controles comunes surjan en algún momento (regresen en aproximadamente 40 años ...).

Mientras tanto, cada actor en el negocio de firmas tendrá sus propios requisitos y compromisos contractuales. Por ejemplo, Microsoft, en su Root Certificate Program , enumera una serie de requisitos, que incluyen:

La CA debe completar una auditoría y enviar los resultados de la auditoría a Microsoft cada doce (12) meses. La auditoría debe cubrir la jerarquía PKI completa que será habilitada por Microsoft a través de la asignación de usos de clave extendida (EKU). Todos los usos de certificados que habilitamos deben ser auditados periódicamente. El informe de auditoría debe documentar el alcance completo de la jerarquía PKI, incluida cualquier sub-CA que emita un tipo específico de certificado cubierto por una auditoría. Las auditorías elegibles incluyen:


WebTrust for Certificate Authorities v1.0 o posterior , completado por un auditor autorizado de WebTrust for CAs,

ETSI TS 101 456 v1.2.1 o posterior ,

ETSI TS 102 042 V1.1.1 o posterior o

ISO 21188: 2006 , “Infraestructura de clave pública para servicios financieros: prácticas y marco de políticas ", completado por un auditor con licencia de WebTrust for CAs, o una autoridad de auditoría que opera de acuerdo con las leyes y políticas para asesores en la misma jurisdicción que la CA.

De todos modos, el objetivo final de un sistema de firma digital es revertir la carga de la prueba : si hay una disputa entre dos partes A y B , A que afirma que una firma dada (supuestamente por B ) se une a B , mientras que B pretende que la firma es falsa (o podría haber sido falsificada, por lo tanto, no puede considerarse vinculante), entonces el sistema de firma digital es "fuerte" si el juez estima que depende de B demostrar la falsedad potencial de la firma, mientras que A puede simplemente sentarse y mirar. Todos los controles, regulaciones, auditorías y marcos de información de InfoSec son medios para alcanzar este objetivo, dentro de un marco legal que:

depende de la jurisdicción, y
aún no existe (o no está completamente) en muchas jurisdicciones.