Kryptografia - listy ARL
Ostatnio “natknąłem się” na nurtujący temat list ARL. Cóż to takiego jest ? Wykonałem drobne rozpoznanie i oto czego się dowiedziałem.
Listy ARL są to zwykłe listy CRL, z tą drobną różnicą, iż zawierają jedynie odwołane certyfikaty centrów certyfikacji (CA - Certificate Authority). Normalna lista CRL zawiera certyfikaty końcowe użytkowników, dla których zostały one wystawione. Przykładem takiej formy listy ARL może być lista wystawiana przez Centrast (http://www.centrast.pl). Jest to nasze Narodowe Centrum Certyfikacji. Zostało ono powołane przez Ministerstwo w celu wystawiania certyfikatów dla urzędów certyfikacyjnych, które spełniają odpowiednie normy i zostały uznane za bezpieczne. Centrast wystawia swoją listę CRL, podpisaną swoim prywatnym kluczem, przy użyciu której odwołuje certyfikaty urzędów CA, dla których “stracił” zaufanie (przy odwołaniu jest podawany powód - najczęściej są to przedawnienia i zmiany certyfikatów).
Jaki jest wniosek. Podczas weryfikowania ścieżki certyfikacji na samym szczycie znajdujemy certyfikat centratu, który podpisał określony urząd i na jego liście CRL (zwaną ARL) wykonujemy weryfikację.
Co na ten temat mówi dokumentacja ?
Zgodnie z RFC 3280 (punkt 5.2.5) jest możliwe dodanie do wygenerowanej listy CRL rozszerzenia (Extension), które nazywane jest “Wystawienie punktu dystrybucji” (Issuing Distribution Point). Rozszerzenie to jest krytyczne i pozwala na określenie obszaru zastosowań listy CRL - jako lista odwołań tylko certyfikatów końcowych, tylko punktów CA, tylko certyfikatów atrybutów lub wypuszczenia zestawu powodów odwołań. Rozszerzenie, pomimo, ze jest krytyczne nie wymaga interpretacji w aplikacji docelowej.
Praktyka pokazuje, ze urzędy wystawiające listy ARL nie zawsze dołączaja do owych list to rozszerzenie. Równocześnie nazywają listę CRL listą ARL i nie stosują się w zupelności do tej formy (zamieszczają odwołania certyfikatów, które nie są urzędami CA, a np. slużą do podpisywania znacznika czasu).
Jako klasyczny przykład listy ARL podałbym fińską listę, dostępną pod adresem http://proxy.fineid.fi/arl/vrkroota.crl
