27 August 2013

Importanta verificarii certificatelor digitale. Alegeti o solutie eficienta.

Share Button


Utilizarea certificatelor digitale bazate pe PKI a devenit o metoda larg acceptata pentru autentificare electronica. Aceasta metoda este utilizata pentru controlul accesului fizic/logic la semnarea documentelor, autentificare pe parte de server pentru site-urile comerciale si autentificare cu cod software.

Inainte de a va baza pe certificatele digitale este important sa verificati statutul lor actual pentru a va asigura ca ele nu sunt revocate (consecintele ar putea fi de exemplu: compromiterea securitateii, pierderea de chei de semnare, intreruperea operatiunilor etc.). Cea mai acceptata abordare pentru verificarea eficienta a statului de revocare al certificatelor este Online Certificate Status Protocol (OCSP, RFC 2560). Functia OCSP pe parte de client este implementata in browsere, in sistemele de operare, in dispozitive legate in retea si in aplicatii software pentru documente ca de exemplu Adobe Reader. Multi dintre vanzatori, inclusiv Ascertia va ofera functia OCSP.

Atacuri asupra functiilor de verificare
Utilizarea traditionala a lui OCSP intampina o problema: se utilizeaza Certificate Revocation Lists (CRL-uri) pentru a determina daca un certificat a fost revocat sau nu. CRL-urile reprezinta o “lista neagra” cu certificatele revocate (de exemplu se identifica numai acele certificate care se stiu ca au fost revocate).

Atacurile recente asupra unui autoritati publice de certificare cunoscute au avut ca rezultat emiterea unor certificate false. Acest lucru s-a realizat prin incalcarea regulilor de control a accesului la software-ul autoritatii de certificare (accesarea directa a cheii private a autoritatii de certificare dintr-un HSM fara suspectare la identificare, autentificare, controlul accesului si a caracteristicilor de logare ale software-ului autoritatii de certificare). In astfel de cazuri, autoritatea nu stie daca a fost emis un certificat fals. Drept rezultat, un astfel de certificat nu poate fi inclus intr-un CRL pentru a se putea verifica daca certificatul a fost revocat.

O functie OCSP care primeste datele de intrare din CRL-uri nu poate sa ajute la recuperare dupa astfel de atacuri. O functie OCSP traditionala va afisa ca statutul certificatelor false sunt de fapt in regula.

Solutia
O functie OCSP trebuie sa poata verifica daca un certificat este inclus intr-un CRL si sa determine daca certificatul a fost emis intr-adevar de autoritatea de certificare pentru a elimina atacurile amintite mai sus. Verificarea se realizeaza prin analiza bazei de date a autoritatii cu certificatele emise. Aceasta tip de verificare este denumita verificare “white-list”. Daca certificatul nu este gasit in baza de date a autoritatii de certificare, atunci serverul OCSP trebuie sa raspunda cu statutul de revocat pentru a preveni utilizarea certificatului emis (de exemplu un scenariu de salvare esuata).

Cerintele de baza pentru o autoritate de certificare in browser (CA/Browser (CAB) ForumBaseline Requirements) au fost actualizate astfel incat cerinta sa fie oficiala incepand cu 1 august 2013:

13.2.6 Raspuns pentru certificate ne-emise
Daca functia OCSP primeste o solicitare pentru statutul unui certificat care nu a fost emis, respondentul NU trebuie sa ofere raspuns ca certificatul in regula (“good”). Autoritatea de certificare trebuie sa monitorizeze functia pentru astfel de solicitari ca parte din procedurile de securitate. Incepand cu 1 august 2013, functiile OCSP nu trebuie sa ofere raspuns cu statul de OK pentru astfel de certificate.

A fost lansata o noua versiune a specificatiilor OCSP pentru a sustine aceasta cerinta (vezi RFC 6960). Noua versiune defineste utilizarea extinsa a statutul de “revocat” pentru certificatele ne-emise. Versiunea noua permite functiilor OCSP sa informeze aplicatiile client ca suporta utilizarea extinsa prin introducerea unui extensii speciale in mesajul OCSP de raspuns.
ADSS OCSP Server de la Ascertia este unul din primii server cu functie OCSP care suporta cerintele RFC 6960 pentru mecanismul si extensia de verificare "white-list". ADSS OCSP Server returneaza statutul de revocat pentru certificatele ne-emise. Serverul permite si alerte in timp real care sa fie generate si trimise catre administratorii configurati atunci cand sunt intalnite certificate ne-emise. Prin intermediul acestor alerte, se va detecta, se va analiza si se va rezolva mai rapid orice situatie cu potential nefavorabil pentru un furnizor de servicii de certificare.

No comments:

Post a Comment