Control total en criptografía frente a un certificado externo [cerrado]

Navega tus respuestas
-1

¿Tengo una pregunta sobre el control total de la criptografía que utilizará para su propia aplicación en comparación con las entidades externas, como las autoridades de certificación?

¿Cuáles son las ventajas y desventajas de cada opción?

    
pregunta James Yeo 15.09.2014 - 11:14
fuente

3 respuestas

0

Al hacer esta pregunta, en realidad está preguntando a los pros de los contras de usar una cadena privada o una que ya está disponible en el cliente.

Use un CA - PRO público

  • Dado que se asume que la raíz de la confianza ya está instalada en el dispositivo cliente, la parte "dura" de la distribución de certificados (es decir, diseñar un mecanismo seguro para distribuir la raíz de su cadena de confianza) se considera resuelta.
  • Es difícil acertar con una CA segura y fácil equivocarse. Esto significa que la ejecución de una CA segura es costosa. Al utilizar una CA pública (suponiendo que esté bien asegurada), compartió ese costo entre todos los clientes de esa CA, lo que lo hace (en teoría) más barato que ejecutar su propio equipo en un entorno similar.
  • El uso de la cadena PKI como configuración en el dispositivo cliente permite una mayor personalización: puede decidir cambiar la CA sin tener demasiado impacto en los clientes y dar poder a los usuarios finales para que realicen sus propias elecciones cuando implementan el sistema (podrían use una CA diferente para el servidor o use la suya propia. Esto hace que el sistema sea más portátil y adaptable.

Use una CA pública - CONs

  • Ahora confía en que la raíz de la confianza se mantenga correctamente en el dispositivo de destino. Si utiliza el almacén raíz normal en el dispositivo, posiblemente se abra a las CA falsas que se han insertado allí.
  • Usted tiene menos control sobre cómo se emite el certificado, por lo que es difícil (o costoso) usar el certificado con propiedades no estándar (si su caso de uso lo utiliza).
  • Por lo general, no controla exactamente qué CA raíz e intermedia se utilizan para emitir su CA final, lo que podría dificultar el uso de una trust ancla que no es su certificado de entidad final cuando desea realizar la fijación de certificados (consulte este ).

Use un CA - PRO privado

  • Usted tiene más libertad en cuanto a cómo genera sus certificados (específicamente, puede usar cualquier propiedad y valor que desee)
  • Si intenta realizar la fijación de certificados, entonces es más fácil de administrar, ya que usted controla cuándo caduca cada elemento de la cadena de confianza del certificado.
  • Lo hace menos dependiente de las entidades que están fuera de su control: es menos dependiente de sus posibles fallas y tiene que confiar en un conjunto más limitado de entidades (es decir, si confía en el almacén de CA de una máquina con Windows, cualquiera de los las entidades listadas en esa tienda pueden emitir un certificado que será aceptado en su sistema).

Utilice un CA - CON privado

  • Tienes que configurar y proteger adecuadamente tu raíz. Esto es más complejo de lo que parece y un error puede comprometer la seguridad de todo el sistema. Esto lleva a un mayor costo (si se hace correctamente).
  • Tiene que resolver el problema de distribuir la raíz de su cadena de confianza a los clientes de forma segura. Por lo general, aquí es donde el uso de una CA privada falla primero porque hay algunas formas de hacerlo que se escalan bien o no son realmente caras.
  • Debe configurar y controlar correctamente la forma en que emite los certificados. Nuevamente, es fácil equivocarse y es difícil hacerlo bien, lo que generalmente también conlleva costos más altos.

Tenga en cuenta que muchas de estas propiedades dependen en gran medida de la forma en que configura y usa su certificado: por ejemplo, si está utilizando la fijación de certificados, ignora más o menos todos estos problemas, excepto el ancla de confianza. distribución uno.

    
respondido por el Stephane 15.09.2014 - 14:36
fuente
0

Confiar en una agencia de certificación no tiene ningún control sobre la criptografía (aparte de algunas agencias de dubios que generan las claves para usted).

Para obtener una certificación de una agencia, usted crea localmente sus propias claves, crea una solicitud de certificación (CSR) para la clave pública y envía la clave pública junto con la CSR a la agencia.

La agencia no tiene acceso ni influencia en absoluto en su cryptography (cifrado y firma de datos). Elegir (o no elegir) una agencia de certificación puede ser un debate sobre confianza (confianza de otras personas en su identidad, que está certificada por la agencia).

    
respondido por el Jens Erat 15.09.2014 - 11:44
fuente
0

Una agencia de certificación solo proporciona confianza , no cifrado.

Independientemente de si utiliza un certificado firmado por una CA o un certificado autofirmado, la implementación del cifrado / hashing es completamente suya.

La confianza es importante. ¿Cómo puedo estar seguro de que todo lo que descargue en su sitio web proviene de usted y no de alguien más? Esto es lo que hace un CA Afirman que han realizado una investigación y certifican que usted es quien dice ser.

Si confío en que la CA haya realizado cierta investigación, puedo confiar en que eres quien dices que eres.

Por otro lado, un certificado autofirmado es casi inútil para fines de confianza, ya que básicamente certifica su propia identidad.

    
respondido por el Chris Murray 15.09.2014 - 12:23
fuente

Lea otras preguntas en las etiquetas

La forma correcta de verificar la vulnerabilidad CVE-2014-7169 (réplica) Solicitudes de escuchas telefónicas a proveedores de VPN [cerrado]