安全认证问题

Question

我们有一个示例场景，我们希望收到一些反馈和一些可能的安全方案的解决方案。

首先，让我们想象一个真实的世界场景：

假设用户在大学拥有一个储物柜(所有者)，而清洁工拥有大学中每个储物柜的密钥(加密数据)(授权用户)。此外，其他学生(公众)可以阅读标签与每个储物柜所有者的名字。(未加密的数据)。

现在，假设恶意用户从清洁器中窃取所有储物柜的密钥。为了在不改变储物柜的实际锁的情况下使受损的密钥失效，最好的解决方案是什么(不需要对所有者数据进行解密和重新加密，因为它是只读的)？

请记住，当所有者和自动用户脱机操作时，应应用整个安全方案。

Answer 1

你进入了撤销的黑暗区域。基本上，您想要一个“工作”的系统，但是使用一个cancel开关，上面写着:即使所有的东西看起来都是合法的，用密码和其他的东西，不要打开。

如果您的系统完全脱机，则没有解决方案。“清洁工”有权打开所有的储物柜；如果所有东西都离线，他就不能失去这种能力，因为关于清洁状态的劫持(窃取他的钥匙)的信息不能进入一个完全脱机的系统，因为它“来自外部”。要解决您的问题，您必须至少需要一个间断的网络。

例如，在X.509中，通常的解决方案是使用短暂的签名对象来声明“目前一切都很好”。用你的清洁剂/储物柜的比喻：

• 每个储物柜都有一个时钟，并知道当前的日期和时间。
• 每天早上，清洁工都会去主清洁办公室，向一名官员出示他的脸和钥匙，该官员确认清洁工确实合法并获准进入；然后，该官员给清洁工一个签名的“出入令牌”，上面写着“清洁X可以进入世界协调世界时3月8日23:00”。
• 当清洁工想打开一个储物柜时，他必须插入他的钥匙和访问令牌。储物柜验证该官员的签名，并确认访问令牌尚未过期。

在X.509中，“访问令牌”是CRL或OCSP响应。关于对象如何被带到验证器(这里，储物柜)的详细信息是不同的。在上面的类比中，“断断续续的网络”是中央办公室；这是系统瞬间“在线”的地方。或者，签名访问令牌可以由其他人主动地分发给储物柜。

一个基石是，验证器必须有一个可靠的时间源，以便有一个合适的时间概念(在精度和准确性方面不一定需要太多)。