Gestión de Revocación de Certificados, Protocolos PKIX e Identidad Autosoberana SSI

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 3,3 KB

CRL — Lista de Revocación de Certificados

La CRL (Certificate Revocation List) es un registro utilizado por la PKI para mantener un listado de los números de serie de los certificados que han sido revocados, ya no son válidos y en los que no se debería confiar.

Características de las CRL:

  • El listado de certificados revocados es firmado digitalmente por la CA.
  • Para comprobar la validez de un certificado, hay que descargar la CRL de la CA indicada en el certificado y verificar si aparece.

Alternativa: El protocolo OCSP (Online Certificate Status Protocol, RFC 2560) permite consultar certificados específicos sin descargar la CRL completa.

Contenido de una CRL:

  • Algoritmo de firma.
  • Nombre de la CA emisora.
  • Fecha de creación de la lista.
  • Fecha en que se va a emitir una nueva lista.
  • Una entrada por cada certificado revocado: Número de serie + fecha de revocación.

Limitaciones de las CRL:

  • Riesgo: Un certificado puede haberse revocado pero no aparecer en la versión de la CRL del verificador por no estar actualizada.
  • La responsabilidad legal por el uso de un certificado revocado es ambigua: ¿Es culpa del tercero por no comprobar la validez o de la CA por no incluirlo a tiempo?
  • Las CRL solo pueden crecer indefinidamente, resultando ineficientes en su tratamiento.

Protocolos PKIX

PKIX ha definido dos protocolos para soportar los procesos de certificación:

CMP (Certificate Management Protocols) — RFC 2510

Define intercambios de mensajes para soportar certificación, certificación cruzada, revocación, etc.

CMC — RFC 2797

Es una interfaz estándar para productos y servicios PKI. Usa CMS (Cryptographic Message Syntax) y soporta servicios de certificación muy similares a CMP.

Nuevas Tendencias — SSI y DIDs

Identidad Autosoberana (SSI — Self-Sovereign Identity)

La SSI es un concepto emergente en la gestión de identidad digital. Los usuarios deben ser capaces de crear y controlar su propia identidad sin depender de ninguna autoridad centralizada, basándose en tecnologías descentralizadas de blockchain.

Identificadores Descentralizados (DIDs)

  • Nuevo tipo de identificador que facilita una identidad digital descentralizada y verificable.
  • Identifica cualquier sujeto (persona, organización, cosa, etc.) que el controlador del DID decida.
  • Permiten que el controlador ofrezca garantía independientemente de un registro centralizado, proveedor de identidad o autoridad de certificación.
  • Los DID son URIs que asocian un sujeto de DID con un documento de DID, permitiendo interacciones confiables.
  • Un documento DID indica el método criptográfico, métodos de verificación o puntos finales de servicio.

Reglamento eIDAS

El Reglamento eIDAS es el marco jurídico europeo que cumple el Reglamento GDPR; estandariza y facilita el desarrollo de SSI en la Unión Europea mediante el uso de DIDs.

Karma: 17%
Visitas: 0

Entradas relacionadas:

Etiquetas:
CRL DIDs CMP Blockchain SSI Identidad Digital CMC PKI PKIX OCSP eIDAS