Comments 14
Шифрование же при использовании SSL/TLS в действительности не является асимметричным, как некоторые думают. Асимметричная криптография используется только для обмена симметричным ключом шифрования.Некорректно.
Для распределения ключей кроме RSA, DH, ECDH может использоваться ещё PSK, хотя это и экзотика.
Также асимметричная криптография используется в TLS для аутентификации клиента и/или сервера.
Сервера логов СТ известны и эти сервера множатся. Однако вот знает ли кто-нибудь действующие сервера типа «аудитор» и «наблюдатель»? И вообще — насколько реальна задача в реальном времени проверить один сертификат по базе в 6-9 миллионов сертификатов?
В Хроме сейчас встроенные CRL, могут и эту штуку отдавать вместе с обновлениями.
Ага, которые не покрывают очень большой доли CA и сертификатов. См. www.grc.com/revocation/crlsets.htm
Если это защита от MITM, то что мешает сделать свой MITM сервер CT, который бы подтверждал все нужные сертификаты?
Вы имеете в виду MITM лог-сервера?
Да, вся инфраструктура же открыта. Можно весь комплект поднять.
Возможно, я не понимаю ваш ход мысли, но попробую ответить на изначальный вопрос.
MITM лог-сервер не сможет вернуть удостоверяющему центру штамп времени с правильной подписью, так как он не обладает закрытым ключом.
Основная задача CT — позволить владельцам доменов быстро узнать о выпущенных для их доменов сертификатах.
MITM лог-сервер не сможет вернуть удостоверяющему центру штамп времени с правильной подписью, так как он не обладает закрытым ключом.
Основная задача CT — позволить владельцам доменов быстро узнать о выпущенных для их доменов сертификатах.
Кроме озвученных выше вопросов добавлю:
Насколько может расти лог? Какой его максимальный возможный размер?
Можно ли «запустить» новый лог в котором будут только действующие сертификаты?
Насколько может расти лог? Какой его максимальный возможный размер?
Можно ли «запустить» новый лог в котором будут только действующие сертификаты?
Sign up to leave a comment.
Обзор Certificate Transparency