¿Qué relación tienen las autoridades de registro con las autoridades de certificación?

Navega tus respuestas
0

Al prepararse para el examen CISSP, el material del curso parece enfatizar un rol distinto entre una Autoridad de Certificación y una Autoridad de Registro . Según la descripción de la guía de estudio:

  

Las autoridades de registro (RA) asisten a las CA con la carga de verificar   Identidades de los usuarios antes de emitir certificados digitales. Ellos no   emiten directamente certificados, pero juegan un papel importante   papel en el proceso de certificación, lo que permite a las CA validar de forma remota   identidades de usuario.

¿Todo esto es un proceso / rol funcional interno que los clientes realmente no ven? Si voy al proveedor de CA "Widget Certs, Inc" y envío el CSR a través del sitio web, parece que todo esto es procesado por una entidad singular.

Para hacer las cosas más confusas ... el material del curso dice más adelante:

  

Cuando desee obtener un certificado digital, primero debe demostrar su identidad a la CA de alguna manera; este proceso se llama inscripción.

    
pregunta Mike B 26.04.2017 - 01:45
fuente

2 respuestas

2

Este proceso de inscripción se confunde involuntariamente.

En muchos casos, RA y CA son la misma entidad. Una forma fácil de ver esto es con los certificados SSL / TLS comunes. Godaddy, Comodo y otros ofrecerán un certificado EV SSL (Extended Validation SSL). La empresa que ofrece el certificado, valida la información del usuario final, así como la emisión de un certificado.

Para crear una cadena de confianza completa , la RA y la CA deben ser entidades separadas. En un sistema como la PKI de la OACI para los pasaportes electrónicos, este sistema es mucho más evidente. Hay un certificado de firma de documentos (DSC), un certificado de firma de país (CSC) y certificados secundarios para cada oficina emisora en el país (certificados de seguridad del emisor o ISC). No es muy evidente cuando se inspeccionan los certificados sin formato en la PKI de la OACI, pero algunos países parecen seguir este modelo completo.

El beneficio inmediato de este modelo "completo" es que una lista de revocaciones puede apuntar a los certificados de una oficina emisora específica, en lugar de uno para el país.

Puede leer más sobre la estructura PKI que emplea la OACI a continuación:

enlace

enlace

    
respondido por el dark_st3alth 26.04.2017 - 06:12
fuente
1

El RA maneja la interacción con la entidad final (también conocido como sujeto de un certificado). Esto incluye, en un escenario físico, verificar las identificaciones o revisar el papeleo. Presentan una declaración de validación a la CA que realiza la emisión.

Esta distinción proviene de varios modelos de referencia de PKI más antiguos pero no es muy visible para los usuarios en el caso de uso del certificado SSL clase 1 normal y automatizado. Es más común que el pasaporte electrónico o las tarjetas de identificación personal en un entorno empresarial tengan esta separación.

Aquí se dan algunas razones: enlace

Reemplazaría a CA con CA / RA en el material de su curso y entendería RA como una separación organizativa con un impacto casi no técnico. Es la parte de una CA que habla con los usuarios, especialmente para la inscripción.

    
respondido por el eckes 26.04.2017 - 05:32
fuente

Lea otras preguntas en las etiquetas

Con la reciente denuncia de SHA-1 por parte de Google, ¿debería evitarse el PBDKF2 basado en SHA-1? [duplicar] Encontrar algoritmo desde Digest y Plaintext