¿Por qué la velocidad de emisión de una CA depende de la cantidad de certificados que ya han emitido?

6

He visto resultados de pruebas de propiedad de haber golpeado a una AC durante mucho tiempo y haber medido su rendimiento (certificados emitidos / segundo). Se encontró que las CA se vuelven más lentas para emitir nuevos certificados a medida que crece el tamaño de su base de datos / lista de revocaciones (trabajo patentado, no hay resultados con los que se pueda vincular). Por ejemplo, algunas CA de infraestructura corporativa (por ejemplo, S / MIME) se atascan con alrededor de 100.000 certificados en la base de datos. EJBCA acumula alrededor de 1 millón de certificados, etc.

Mi pregunta es: las bases de datos pueden manejar fácilmente búsquedas / inserciones rápidas en millones de líneas, así que, ¿qué tiene de diferente la emisión de certificados? Es de suponer que hay algún tipo de cifrado cuyo tiempo de ejecución depende del tamaño de la base de datos.

Tenga en cuenta que esta es una pregunta de seguimiento de los comentarios a esta pregunta .

    
pregunta Mike Ounsworth 08.12.2015 - 22:44
fuente

1 respuesta

1

Respuesta propia.

Los comentarios sugieren que estos resultados pueden explicarse por el hecho de que estamos haciendo inserciones casi constantes en una base de datos no administrada, de talla única, y que es probable que se solucionen poniendo un poco de esfuerzo en la base de datos .

Al mencionar esto a un colega, se señaló que algunas CA verifican, como cortesía, que su clave pública es única para evitar que un servidor se haga pasar por otro. Eso requeriría una búsqueda O (registro n), un mantenimiento de tabla hash en segundo plano, o algo más que usaría cantidades de CPU no triviales a medida que la base de datos crece.

    
respondido por el Mike Ounsworth 09.12.2015 - 22:53
fuente

Lea otras preguntas en las etiquetas