| |
Birisinin özel anahtarının çalındığını fark ettiği
veya çalıştığı kurumdan kovulduğu gibi durumlarda ilgili sertifikanın
daha sonradan kullanılamaması için geçerliliğinin iptal edilmesi
gerekmektedir. Sertifikaların üstünde geçerlilik süresinin sona erme
tarihi vardır ama genellikle bu zaman oldukça uzundur. Bu problem kredi
kartının kaybolması ile benzer bir problemdir aslında.
Şuana kadar uygulanmış çözümleri şu şekilde sıralayabiliriz:
Sertifika İptal Listeleri (CRLs): CA periyodik olarak imzalanmış bir
iptal edilen sertifika listesi yayınlar. Her bir CRL süresi dolmamış ama
iptal edilmiş sertifikaların tümünü kapsar.
Delta CRL: CRL .ok büyüdüğünde, periyodik olarak bunu indirmek çok
problemli olmaktadır. Verimlilik amaçlarıyla, delta CRLlr
kullanılmaktadır. Bunlarda en son CRlden bu yana olan değişiklikler
görünmektedir. Delta CRLler çok kısa olduğu gibi genellikle herhangi
bir sertifika da içermezler.
Online İptal Sunucusu(OLRS): CRLler ne kadar sıklıkla yayınlanırsa
yayınlansın yinede gerçek zaman garantisi vermezler. OLRS bireysel bir
sertifikanın geçerliliğinin gerçek zamanda doğrulanmış bir kanal
üzerinden sorgulandığı sunucudur. Böylelikle iptal kararı daha hızlı bir
şekilde uygulamaya alınmış olmaktadır.
Anlık İptal: OLRS yaklaşımında, doğrulayan (şifreleme yapan taraf)
sunucudan sertifikanın durumunu sorgular. Bu sorgu doğrulama esnasında
yapılır ve imzalayanın imzalama işlemi esnasında sertifikanın iptal
durumunun kontrol edilmesi mümkün değildir. E-posta gibi asenkron
uygulamalarda, sertifikanın anlık olarak iptal edilmesi gerekiyor ki
yeni bir imza oluşturmak artık mümkün olmasın. Alternatif olarak Bone et
al. eğer sertifika iptal edilmişse ilk yerde dijital olarak imzalanmış
mesajı oluşturmanın mümkün olmadığı bir metot önermiştir. Böylelikle
dijital imzanın varlığı sertifikanın da imzalama anında geçerli
olduğunun işaretidir. Daha net anlatacak olursak, alıcı yerine
imzalayıcının kendisi sunucu ile iletişime geçiyor ve sunucunun katılımı
olmasan dijital imza oluşturulamıyor. Tabiki sunucunun imza olayına
katılması ancak sertifikanın geçerliliğinin kontrol edildiği durumlarda
olmaktadır. Daha fazla bilgi için aşağıdaki kaynak faydalı olabilir:
Kaynak: Fine Grained Control of Security Capabilities, D. Boneh et al.
ACM Transactions on Internet Technology, Vol 4, No.1, Feb 2004.
|
|
|
