¿Cuál es la estrategia común para emitir solicitudes de OCSP?

Navega tus respuestas
0

Actualmente estoy definiendo una PKI para certificados de firma de código en un dispositivo integrado (sin conexión a Internet). Defino el comportamiento del emisor del certificado (autoridad de liberación de FW) así como el código de FW que autentificará el certificado de la clave pública utilizada para firmarlo en la actualización de FW. Quiero definir una estrategia para verificar el estado de revocación de la firma de código Certificados emitidos por una CA. El sistema general funcionará de la siguiente manera:

  

1. El código de firmware debe estar firmado por una clave privada (clave # 1priv)

     

2.La clave pública emparejada con esa clave privada (clave # 1pub) se enviará en un csr (construido por un HSM) a la CA y obtendrá un certificado de firma de código

     

3. La clave pública de AC se descargará de forma segura en la unidad

     

4. Durante la actualización de FW, el FW recibirá el certificado para la clave # 1pub, se autentificará con la clave pública de CA y luego se procederá a la autenticación del código FW con la clave # 1pub

Mi pregunta es:

En caso de que la clave privada de la CA se haya comprometido, a mi entender, se enviará de nuevo un CSR a la CA y se obtendrá un nuevo certificado firmado por la clave privada revocada. De acuerdo con lo que entendí por la lectura en línea, una solicitud de OCSP se enviará a la CA para determinar el estado de revocación del certificado de acuerdo con su número de serie. ¿Cómo sabe el solicitante de certificado cuándo emitir dicha solicitud de OCSP? en otras palabras, ¿cuál es la práctica común en el momento de enviar las solicitudes de OCSP a la CA?

Gracias.

    
pregunta Dima Shifrin 11.06.2017 - 10:59
fuente

1 respuesta

1

Creo que te equivocas. Para describir las ideas básicas de utilizar una agencia de certificación y de revocación:

  • La CA debe ser localmente confiable en el dispositivo instalando su certificado raíz en el dispositivo.
  • La CA emite el certificado basado en la CSR.
  • El dispositivo puede verificar la confianza en el certificado utilizando el certificado raíz instalado localmente de la CA.
  • La CA puede revocar los certificados que ha emitido. La información de revocación está firmada por la CA para que pueda verificarse mediante la CA raíz instalada localmente.
  • Pero el certificado de la CA en sí no puede ser revocado. Como el certificado raíz de la CA se firma por sí mismo, la clave privada de la CA habría firmado la revocación, pero el certificado de la raíz debería ser revocado porque exactamente esta clave privada está comprometida, lo que significa que no se puede confiar en nada firmado con esta clave. Esto significa que si la CA está comprometida, hay que eliminarla del dispositivo como de confianza. Consulte ¿Cómo se manejan las revocaciones de CA raíz? y < a href="https://security.stackexchange.com/questions/90254/can-a-rootca-be-revoked"> ¿Se puede revocar un RootCA? para obtener más información.

Por lo tanto, no hay forma de verificar la revocación de la CA.
Pero uno puede verificar la revocación del certificado emitido por la CA. Esto se debe hacer siempre que se use el certificado, es decir, cuando la firma se verifique en su caso. Dado que esto puede ser demasiado a menudo, las respuestas de OCSP y las listas de revocación de certificados (CRL) tienen algún tipo de vida útil y puede reutilizar el último resultado siempre que aún se considere válido.

    
respondido por el Steffen Ullrich 11.06.2017 - 12:59
fuente

Lea otras preguntas en las etiquetas

Denegar el envío de correo electrónico Confiando en su herramienta de respuesta a incidentes