Miért fontos a rövid lejáratú OCSP válaszadó tanúsítvány?
Berta István Zsolt - Endrődi Csilla Éva - Vanczák Gergely

2005. augusztus

Bevezetés

Jelen dokumentum két különböző OCSP megoldás biztonságát veti össze. Az egyik esetben a hitelesítés szolgáltató OCSP válaszadójának tanúsítványa "rövid" (pl. 10 perces), a másik esetben hosszú (pl. 1 év) lejáratú. E dokumentum megmutatja, hogy a felhasználók többletkockázatot vállalnak, ha olyan hitelesítés szolgáltatótól vesznek tanúsítványt (illetve olyan hitelesítés szolgáltató tanúsítványa alapján aláírt dokumentumot fogadnak el), amely hosszú lejáratú OCSP válaszadó tanúsítványt használ.

Tanúsítványok visszavonási állapotának ellenőrzése

A tanúsítványok visszavonási állapotának ellenőrzésére több módszer létezik. Az egyik megoldás a periodikusan megjelenő visszavonási listák (CRL) letöltése a tanúsítvány kibocsátójától.

Egy másik módszer az on-line tanúsítvány állapot ellenőrzés (OCSP), amikor online érkezik kérdés az egyes tanúsítványok visszavonási állapotára. E kérésekre a hitelesítés szolgáltató ún. OCSP válaszadója ad online hiteles (aláírt) választ. Az OCSP válaszadó olyan tanúsítvánnyal rendelkezik, amellyel kizárólag OCSP válaszokat írhat alá.

Mindig szükséges egy olyan kulcs (a legfelsőbb szintű hitelesítés szolgáltató, az ún. trust anchor), amelyet mindig érvényesnek és mindig megbízhatónak fogadunk el. Az ilyen kulcsok visszavonási állapotát nem lehet a nyilvános kulcsú infrastruktúra segítségével ellenőrizni, az esetleges kompromittálódást más csatornán (pl. média) kell közzétenni. Ilyen trust anchor például a hitelesítés szolgáltatók root CA-jának kulcsa.

AZ OCSP válaszadó tanúsítványának ellenőrzése

Felmerül a kérdés, hogy az OCSP válaszadó tanúsítványának visszavonási állapotát milyen módon kell ellenőrizni.

Ha a hitelesítés szolgáltató az OCSP válaszadó egység tanúsítványának visszavonási állapotát is CRL-en teszi közzé, akkor az OCSP fő előnye vész el, ugyanis nem lehet a teljes tanúsítványláncot online módon hitelesen ellenőrizni. Ha az OCSP válaszadó tanúsítványát is egy OCSP válasz alapján szeretnénk ellenőrizni, akkor továbbra is ellenőriznünk kell ezen választ adó OCSP válaszadó tanúsítványának visszavonási állapotát. Ezáltal könnyen ördögi körbe kerlhetünk, és az ellenőrzés soha nem érne véget.

A másik lehetőség az, hogy a felhasználónak meg kell bíznia az OCSP válaszadó tanúsítványában, amíg az érvényes (azaz nem járt le), és egyáltalán nem kell ellenőriznie a visszavonási állapotát. Ez például úgy is megoldható, ha be van állítva a "pkix-ocsp-nocheck" az OCSP válaszadó tanúsítványában.

Ha az OCSP válaszadó titkos kulcsa valami miatt kompromitálódik, a támadó az OCSP válaszokat hamisíthat a hitelesítés szolgáltató nevében. Ekkor a támadó az OCSP válaszokat nemcsak az adott időpillanatra vonatkozóan hamisíthatja, hanem visszadátumozott hamis OCSP válaszokat is létrehozhat. A visszadátumozott OCSP válaszokkal csak akkor tud a támadó érvényesnek látszó XAdES-A aláírást létrehozni, ha a XAdES szabványnak megfelelően az OCSP válaszhoz tartozó időbélyeget is tud szerezni. A XAdES-A szerint az OCSP választ olyan időbélyeggel kell ellátni, amely az OCSP válaszadó tanúsítványának érvényességén belül van.

Addig a pillanatig, amíg a hitelesítés szolgáltató tudomást nem szerez az OCSP válaszadó kulcsának kompromittálódásáról, a rövid és a hosszú ideig érvényes OCSP tanúsítványok egyenértékűek.

A különbség akkor jelentkezik, ha a hitelesítés szolgáltató tudomására jut, hogy az OCSP válaszadó titkos kulcsa kompromittálódott:

Az OCSP válaszadó kulcsa viszonylag kiszolgáltatott helyzetben van, mert az OCSP kérések kívülről érkeznek, tehát az aláírandó OCSP kérések tartalmát nem a hitelesítés szolgáltató állítja össze. Így egy támadónak több lehetősége van ún. választott szöveg alapú támadás (chosen plaintext attack) végrehajtására, mint például egy tanúsítványok (és CRL-ek) aláírására használt szolgáltatói tanúsítvány esetén. A szolgáltatói kulcsok közül egyedül az OCSP és az időbélyegző kulcs van ilyen kiszolgáltatott helyzetben, de ezek közül az időbélyegző kulcsát könnyen vissza lehet vonni CRL illetve OCSP segítségével, míg az OCSP kulcsának visszavonása viszont felettébb körülményes.

Ezért célszerű, ha az OCSP válaszadó kulcsa kellően hosszú, és mindenképpen fel kell készülni arra az esetre is, hogy mi történik, ha a válaszadó kulcsa mégis kompromittálódik.

Összefoglalás

A fentiekből látható, hogy a rövid ideig érvényes OCSP válaszadói tanúsítványok sokkal kisebb kockázatot jelentenek a hosszú ideig érvényes tanúsítványokkal szemben. Tekintetbe véve, hogy a rövid ideig érvényes OCSP válaszadói tanúsítványokra épülő rendszer megvalósítása nem nehéz feladat, felesleges többletkockázatnak tartjuk olyan rendszer alkalmazását, amely hosszú ideig érvényes OCSP válaszadói tanúsítványokra épül.