A metric to assess the trustworthiness of certificate authorities

Abstract

In the recent past, there has been a series of security incidents leading to increasing concern regarding the trust model currently employed by public key infrastructures. One of the key criticisms is the architecture’s implicit assumption that certificate authorities (CAs) are trustworthy a priori. This work proposes a metric to compensate this assumption by a differentiating assessment of a CA’s individual trustworthiness based on objective criteria. The metric utilizes a wide range of factors derived from existing policies, technical guidelines, and research. It consists of self-contained submetrics allowing the simple extension of the existing set of criteria. The focus is thereby on aspects which can be assessed by employing practically applicable methods of independent data collection. The metric is meant to help organizations, individuals, and service providers deciding which CAs to trust or distrust. For this, the modularized submetrics are clustered into coherent submetric groups covering a CA’s different properties and responsibilities. By applying individually chosen weightings to these submetric groups, the metric’s outcomes can be adapted to tailored protection requirements according to an exemplifying attacker model.

In der jüngeren Vergangenheit führte eine Reihe von Sicherheitsvorfällen zu Skepsis bezüglich des momentan etablierten Vertrauensmodells von Public-Key-Infrastrukturen. Einer der Hauptkritikpunkte ist dabei die implizite Annahme, dass Zertifizierungsstellen (CAs) a priori vertrauenswürdig sind. Diese Arbeit stellt eine Metrik vor, welche diese Annahme durch eine differenzierte Beurteilung der individuellen Vertrauenswürdigkeit einer CA auf Basis objektiver Kriterien kompensieren soll. Hierfür bedient sie sich einer Vielzahl verschiedener Faktoren aus technischen Richtlinien und Forschungsarbeiten. Die Metrik besteht aus in sich abgeschlossenen Submetriken. Diese ermöglichen eine einfache Erweiterung des bestehenden Kriterienkatalogs. Der Fokus liegt dabei auf Aspekten, welche durch praktisch anwendbare, unabhängige Methoden der Datenerhebung beurteilt werden können. Die Metrik ist dafür vorgesehen, Organisationen, Dienstleistern und Einzelpersonen bei der Entscheidung zu helfen, welchen CAs sie trauen und welchen sie nicht trauen sollten. Die modularisierten Submetriken sind dafür in themenverwandte Gruppen unterteilt, welche verschiedene Eigenschaften und Aufgaben der CAs abdecken. Durch eine individuelle Gewichtung der einzelnen Submetrik-Gruppen kann die Metrik an Hand eines beispielhaften Angreifer-Modells an maßgeschneiderte Schutzbedarfe angepasst werden.