Certificates
為什麼 CA 不必線上?
我正在學習公鑰基礎設施和證書頒發機構。
但我無法理解以下概念。
與 KDC 或公鑰授權不同,CA 不必線上向使用者提供密鑰
為什麼?我認為 KDC 和公鑰權限與 CA 相同。
與 KDC 或公鑰授權不同,CA 不必線上向使用者提供密鑰
他們的意思是,CA 在協商時不必線上。也就是說,當您使用 TLS 帶到 Amazon 時,CA 不必參與協商。相反,亞馬遜可以發送其證書,您可以驗證它(然後使用嵌入的公鑰),而不需要 CA 參與指導。在此期間,CA 可以(並且通常是)從網路中關閉。
這與(例如)密鑰分發中心形成對比;當 Alice 和 Bob 需要協商一個共享秘密時,KDC 是該協商中的必要參與方。
這意味著兩件事:
- 因為 KDC 必須線上,這意味著它必須向使用者呈現一個界面;這樣的介面是一個潛在的攻擊面。由於 CA 通常處於離線狀態,因此攻擊難度較大。
- 可擴展性;因為 KDC 參與每一次協商,這意味著它獲得了大量的流量。當然,有辦法解決這個問題,比如冗餘 KDC 伺服器;然而,這只會增加攻擊面。
當然,CA 必須在註冊時可用。亞馬遜獲得證書後,CA 必須生成它並將其發送給亞馬遜。然而,這是一個相對罕見的事件(與談判發生的頻率相比),因此問題不大。
我認為 KDC 和公鑰權限與 CA 相同。
不,他們不是。KDC 是分發密鑰的中央機構。它的一般工作方式是 KDC 將與其每個用途共享一個對稱密鑰;當 Alice 想和 Bob 通話時,它會向 KDC 發送一個請求(使用 Alice 的對稱密鑰);KDC 將生成一個密鑰,並使用 Bob 的對稱密鑰將其發送給 Alice(使用 Alice 的對稱密鑰)和 Bob(通常通過 Alice)。