Skip to main content

Importanta verificarii certificatelor digitale. Alegeti o solutie eficienta.

Share Button


Utilizarea certificatelor digitale bazate pe PKI a devenit o metoda larg acceptata pentru autentificare electronica. Aceasta metoda este utilizata pentru controlul accesului fizic/logic la semnarea documentelor, autentificare pe parte de server pentru site-urile comerciale si autentificare cu cod software.

Inainte de a va baza pe certificatele digitale este important sa verificati statutul lor actual pentru a va asigura ca ele nu sunt revocate (consecintele ar putea fi de exemplu: compromiterea securitateii, pierderea de chei de semnare, intreruperea operatiunilor etc.). Cea mai acceptata abordare pentru verificarea eficienta a statului de revocare al certificatelor este Online Certificate Status Protocol (OCSP, RFC 2560). Functia OCSP pe parte de client este implementata in browsere, in sistemele de operare, in dispozitive legate in retea si in aplicatii software pentru documente ca de exemplu Adobe Reader. Multi dintre vanzatori, inclusiv Ascertia va ofera functia OCSP.

Atacuri asupra functiilor de verificare
Utilizarea traditionala a lui OCSP intampina o problema: se utilizeaza Certificate Revocation Lists (CRL-uri) pentru a determina daca un certificat a fost revocat sau nu. CRL-urile reprezinta o “lista neagra” cu certificatele revocate (de exemplu se identifica numai acele certificate care se stiu ca au fost revocate).

Atacurile recente asupra unui autoritati publice de certificare cunoscute au avut ca rezultat emiterea unor certificate false. Acest lucru s-a realizat prin incalcarea regulilor de control a accesului la software-ul autoritatii de certificare (accesarea directa a cheii private a autoritatii de certificare dintr-un HSM fara suspectare la identificare, autentificare, controlul accesului si a caracteristicilor de logare ale software-ului autoritatii de certificare). In astfel de cazuri, autoritatea nu stie daca a fost emis un certificat fals. Drept rezultat, un astfel de certificat nu poate fi inclus intr-un CRL pentru a se putea verifica daca certificatul a fost revocat.

O functie OCSP care primeste datele de intrare din CRL-uri nu poate sa ajute la recuperare dupa astfel de atacuri. O functie OCSP traditionala va afisa ca statutul certificatelor false sunt de fapt in regula.

Solutia
O functie OCSP trebuie sa poata verifica daca un certificat este inclus intr-un CRL si sa determine daca certificatul a fost emis intr-adevar de autoritatea de certificare pentru a elimina atacurile amintite mai sus. Verificarea se realizeaza prin analiza bazei de date a autoritatii cu certificatele emise. Aceasta tip de verificare este denumita verificare “white-list”. Daca certificatul nu este gasit in baza de date a autoritatii de certificare, atunci serverul OCSP trebuie sa raspunda cu statutul de revocat pentru a preveni utilizarea certificatului emis (de exemplu un scenariu de salvare esuata).

Cerintele de baza pentru o autoritate de certificare in browser (CA/Browser (CAB) ForumBaseline Requirements) au fost actualizate astfel incat cerinta sa fie oficiala incepand cu 1 august 2013:

13.2.6 Raspuns pentru certificate ne-emise
Daca functia OCSP primeste o solicitare pentru statutul unui certificat care nu a fost emis, respondentul NU trebuie sa ofere raspuns ca certificatul in regula (“good”). Autoritatea de certificare trebuie sa monitorizeze functia pentru astfel de solicitari ca parte din procedurile de securitate. Incepand cu 1 august 2013, functiile OCSP nu trebuie sa ofere raspuns cu statul de OK pentru astfel de certificate.

A fost lansata o noua versiune a specificatiilor OCSP pentru a sustine aceasta cerinta (vezi RFC 6960). Noua versiune defineste utilizarea extinsa a statutul de “revocat” pentru certificatele ne-emise. Versiunea noua permite functiilor OCSP sa informeze aplicatiile client ca suporta utilizarea extinsa prin introducerea unui extensii speciale in mesajul OCSP de raspuns.
ADSS OCSP Server de la Ascertia este unul din primii server cu functie OCSP care suporta cerintele RFC 6960 pentru mecanismul si extensia de verificare "white-list". ADSS OCSP Server returneaza statutul de revocat pentru certificatele ne-emise. Serverul permite si alerte in timp real care sa fie generate si trimise catre administratorii configurati atunci cand sunt intalnite certificate ne-emise. Prin intermediul acestor alerte, se va detecta, se va analiza si se va rezolva mai rapid orice situatie cu potential nefavorabil pentru un furnizor de servicii de certificare.
Labels:
Location: Romania

Comments

Post a Comment

Popular posts from this blog

Dispozitiv criptografic USB Token CryptoMate EVO

Prezentarea generala a dispozitivului criptografic CryptoMate EVO Tokenul USB CryptoMate Evo PKI utilizeaza algoritmi ECC si RSA pentru operaÈ›iunile criptografice cu cheie publică, esenÈ›iale în aplicaÈ›iile PKI pentru carduri inteligente È™i semnătură digitală. Tokenul CryptoMate EVO PKI este construit in jurul unui modul ACOS5-EVO care acceptă algoritmi DES, 3DES, AES È™i SHA. Tokenul este conform cu standardele internaÈ›ionale pentru cardurile inteligente PKI (ISO 7816 (părÈ›ile 1, 2, 3, 4, 8 È™i 9) È™i FIPS 140-2 level 3 È™i este certificat CC EAL 5+ CryptoMate EVO poate fi utilizat pentru aplicaÈ›ii care includ semnarea digitală, securitatea e-mailurilor, conectarea online, conectarea la reÈ›ea È™i aplicaÈ›iile blockchain. Caracteristici: ● Card inteligent criptografic si cryptoprocesor ◦ Modulul ACOS5-EVO incorporat ◦ Memorie RRPROM: 192 KB ◦ Conform cu ISO 7816 Partile 1, 2, 3, 4, 8, si 9 (suporta T=0, T=1;
Post a Comment
Cititi articolul »

Cititor card sanatate ACR83 (format APG), V2

Cititorul de card de sanatate ACR83, in forma cunoscuta pana acum, a ajuns la sfarsitul ciclului de fabricatie inca din anul 2019. Va prezentam mai jos varianta actuala a cititorului de card ACR83, care este ACR83 (format APG) APG8201. Acesta se prezinta intr-o haina noua, dar ramane 100% compatibil cu vechiul cititor ACR83. Cititorul de card de sanatate este vandut de unele firme si sub denumirile de ''ACR83 v2 PinEasy - cititor card sanatate cu tastatura si ecran autorizat de CNAS model 2023'' si ''Cititor smartcard ACS APG 8201-B2'' - Cititorul de card de sanatate ACR83 – APG8201 vine intr-o carcasa noua, robusta, fiabila, ergonomica - Afisaj mare - Taste mai mari care usureaza introducerea codului PIN - Prezenta cardului in cititor este semnalata de un sunet - Viteza mai mare de redare a datelor Pentru a avea acces la datele de pe card introduceti PIN-ul de la tastatura cititorului ACR83 (APG8201). COMANDA CITITORUL ACR 83 (for
Post a Comment
Cititi articolul »

Cititor contactless pentru carduri RFID (NFC) 13.56 MHz

Acest cititor de card contactless citeste si scrie cardurile mifare rfid 1K. Protocol de comunicatie:  - accepta toate cardurile cu frecventa ceasului de 13.56 MHz (smartcard RFID): - ISO 14443 tip A si B - Mifare 13.56 MHz ISD14443A - Baud rate: 106 Kbps la 6.8 Mbps - Suport pentru protocol Felica - Compatibil cu protocol de card 15693 Securitate: - Chipset cu nivel inalt de securitate - Protectie la scurt-circuit si depasirea tensiunii de alimentare - Mecanism de criptare in firmware - Posibilitate de actualizare pentru firmware Performanta: - Primul VHBR CCID card reader - Primul reader CCID cu procesor de viteza inalta - Incorporeaza tehnologie contactless VHBR (Very High Bit Rates) solicitata de aplicatiile ICAO (International Civil Aviation Organization), cu standard LDS 2.0 Compatibilitate: compatibil cu cele mai utilizate platforme software: Windows, Linux. Mac,
Post a Comment
Cititi articolul »