Desing and Evaluation of Certificate Revocation Systems

  1. Muñoz Tapia, José Luis
Zuzendaria:
  1. Jordi Forné Muñoz Zuzendaria

Defentsa unibertsitatea: Universitat Politècnica de Catalunya (UPC)

Fecha de defensa: 2004(e)ko martxoa-(a)k 01

Epaimahaia:
  1. Francisco José Rico Novella Presidentea
  2. Miquel Soriano Ibáñez Idazkaria
  3. Antonio Skarmeta Gómez Kidea
  4. Francisco Javier López Muñoz Kidea
  5. Josep Lluis Ferrer Gomila Kidea

Mota: Tesia

Teseo: 104842 DIALNET lock_openTDX editor

Laburpena

Este trabajo presenta tanto el estado del arte como un análisis de los principales sistemas de revocación de certificados digitales. El hecho de comprender bien el mecanismo de revocación de un certificado es importante tanto para los proveedores de servicios PKI como para los usuarios finales de la PKI: una mejor comprensión de las complejidades del sistema de revocación permite a estas entidades mejorar su proceso de decisión a la hora de aceptar o rechazar un certificado teniendo en cuenta la gran cantidad de variables inherentes en los sistemas de revocación. La revocación de certificados se presenta como uno de los problemas más complejos a resolver en toda la PKI. Por tanto este aspecto se está convirtiendo en un punto crucial para el amplio desarrollo de las PKIs. Hay estudios que incluso argumentan que los costes de la PKI derivan en gran medida de la administración de la revocación. Esto nos ha motivado para desarrollar nuevas propuestas. En este sentido, hemos desarrollado tres propuestas: H-OCSP (propuesta de mejora basada en el estándar OCSP), AD-MHT (propuesta basada en los árboles de hash de Merkle) y E-MHT (propuesta que aglutina varios mecanismos que permiten mejorar la eficiencia de los sistemas tradicionales basados en el árbol de hash de Merkle). Las propuestas que se plantean en esta tesis no son solo un conjunto de mecanismos teóricos sino que son también sistemas prácticos que han sido implementados como parte de una plataforma de pruebas llamada Cervantes. El diseño de Cervantes permite además encajar cualquier otro tipo de sistema de revocación sin cambios significativos en la estructura o el código fuente de la plataforma. En particular, en esta tesis se detalla como se han implementado los dos grandes estándares de revocación: CRL y OCSP y como se han implementado las propuestas realizadas. Finalmente utilizando Cervantes se pueden observar resultados de rendimiento para todos los sistemas estudiados y en particular nuestras propuestas han demostrado finalmente ser más escalables y eficientes en tratamiento de la información de revocación que las propuestas anteriores. ---------------------------------------------------------------------------------