TLS tanúsítványok monitorozása Certificate Transparency infrastruktúra segítségével

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

A Certificate Transparency egy, a Google által bevezetett szabvány. A célja, hogy könnyebben felügyelhetővé tegye a klasszikus PKI-t. Ahogy a neve is sugallja, megpróbálja traszparensebbé és ellenőrizhetőbbé tenni a tanúsítvány kiadás folyamatát. Az elosztott természete miatt nem válik a hitelesítés szolgáltatókhoz hasonlóan központosítottá. Ehelyett lehetővé teszi bárki számára, hogy felügyelje ezen szolgáltatók működését, mivel a Certificate Transparensy komponenseit bárki üzemeltetheti. Ez adja a legjobb biztosítékot a rendszer biztonságára, átláthatóságára és függetlenségére. Mivel a közzétett információ bárki számára elérhető, az így megszerzett adat felhasználható üzleti célokra, de a biztonságra gyakorolt hatásait is figyelembe kell venni.

A CT három fő komponensből áll, log szerverből, monitorból és auditorból. A log szerver felelős a közzétett tanúsítványok tárolásáért és kriptográfiai módszerekkel annak biztosításáért, hogy ez az adatbázis csak bővíthető legyen. A monitor figyeli az aktív logokat és olyan tanúsítványokat keres bennük, amelyek illeszkednek a keresési feltételeire. Az auditor fő feladata annak ellenőrzése, hogy egy bizonyos tanúsítvány megtalálható-e adott log szerveren. A feladatom az volt, hogy megértsem a szabványt és a komponensek működését részletekbe menően. Ezután telepítsek a log szerverekből példányokat a meglévő implementáció alapján, illetve implementáljam a monitor komponest. Az így kapott szoftver segítségével adatokat tudtunk kinyerni a publikusan elérhető log szerverekből. Ezen kívül megvizsgáltam a Certificate Transparency használatával felmerülő esetleges biztonsági kockázatokat is és javaslatokat tettem a megelőzésükre.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.