CertLedger

En pKI convencional, se supone que las CA son de plena confianza. Sin embargo, en la práctica, la responsabilidad absoluta de las CA de proporcionar confiabilidad causó importantes problemas de seguridad y privacidad. Para evitar este tipo de problemas, Google introdujo el concepto de Transparencia de Certificados (CT) en 2013. Más tarde, se proponen varios nuevos modelos de PKI (por ejemplo, AKI, ARPKI y DTKI) para reducir el nivel de confianza a las CA. Sin embargo, todas estas propuestas siguen siendo vulnerables a los ataques del mundo dividido si el adversario es capaz de mostrar diferentes puntos de vista del registro a las víctimas objetivo. En este artículo, proponemos una nueva arquitectura PKI con transparencia de certificados basada en blockchain, lo que llamamos CertLedger, para eliminar los ataques de mundo dividido y proporcionar una transparencia de certificado/revocación ideal. Todos los certificados TLS, su estado de revocación, todo el proceso de revocación y la administración de CA de confianza se llevan a cabo en CertLedger. CertLedger proporciona un proceso de validación de certificados único, eficiente y confiable que elimina los procesos convencionales de validación de certificados inadecuados e incompatibles implementados por diferentes proveedores de software. Los clientes TLS en CertLedger tampoco requieren realizar la validación de certificados y almacenar ya los certificados de CA de confianza. Analizamos la seguridad y el rendimiento del CertLedger y ofrecemos una comparación con las propuestas anteriores.