Obecně řečeno, tradičně existují tři přístupy k získání této důvěryhodnosti: certifikační autority (CA), web důvěry (WoT) a jednoduchá infrastruktura veřejného klíče (SPKI).
Certifikační autority Upravit
Primární rolí CA je digitálně podepsat a publikovat veřejný klíč vázaný na daného uživatele. To se provádí pomocí vlastního soukromého klíče CA, takže důvěra v uživatelský klíč závisí na důvěře v platnost klíče CA. Pokud je CA třetí stranou oddělenou od uživatele a systému, pak se nazývá Registrační autorita (RA), která může nebo nemusí být oddělena od CA. Vazba klíč-uživatel je vytvořena v závislosti na úrovni záruky, kterou vazba má, pomocí softwaru nebo pod lidským dohledem.
Termín důvěryhodná třetí strana (TTP) lze také použít pro certifikační autoritu (CA). Kromě toho se PKI často používá jako synonymum pro implementaci CA.
Vydavatel na trhu shareEdit
Poslední aktualizace : < naposledy aktualizováno > (leden 2020)
V tomto modelu vztahu důvěryhodnosti s, CA je důvěryhodná třetí strana – důvěryhodná jak subjektem (vlastníkem) certifikátu, tak stranou, která se na certifikát spoléhá.
Podle zprávy NetCraft z roku 2015 je průmyslovým standardem pro monitorování aktivní Certifikáty TLS (Transport Layer Security) uvádí, že „I když je globální ekosystém konkurenceschopný, dominuje mu hrstka hlavních CA – tři certifikační autority (Symantec, Sectigo, GoDaddy) tvoří tři čtvrtiny všech vydaných certifikátů na veřejných čelí webové servery. První místo zaujímá společnost Symantec (nebo VeriSign před tím, než ji koupila společnost Symantec) od začátku průzkumu, přičemž v současné době představuje necelou třetinu všech certifikátů. Abychom ilustrovali účinek různých metodik, vydala společnost Symantec mezi miliony nejrušnějších webů 44% platných důvěryhodných certifikátů, které se používají – což je podstatně více, než je její celkový podíl na trhu. “
Po hlavních problémech ve způsobu vydávání certifikátů spravováno, všichni hlavní hráči od roku 2017 postupně nedůvěřovali vydávaným certifikátům společnosti Symantec.
Dočasné certifikáty a jednotné přihlášení Upravit
Tento přístup zahrnuje server, který funguje jako offline certifikační autorita v rámci jednoho přihlašovací systém. Server pro jednotné přihlašování bude vydávat digitální certifikáty do klientského systému, ale nikdy je neukládá. Uživatelé mohou s dočasným certifikátem spouštět programy atd. Je běžné najít tuto variantu řešení s X.509- založené certifikáty.
Počínaje zářím 2020 byla platnost certifikátu TLS snížena na 13 měsíců.
Web trustEdit
Alternativní přístup k problému veřejného ověřování veřejného klíče y information je schéma důvěryhodného webu, které používá certifikáty podepsané svým držitelem a osvědčení třetích stran o těchto certifikátech. Jednotný termín „web důvěryhodnosti“ neznamená existenci jediné sítě důvěry nebo společného bodu důvěry, ale spíše jednoho z libovolného počtu potenciálně disjunktních „sítí důvěry“. Příklady implementací tohoto přístupu jsou PGP (Pretty Good Privacy) a GnuPG (implementace OpenPGP, standardizované specifikace PGP). Protože PGP a implementace umožňují použití digitálních podpisů e-mailů pro vlastní publikování informací veřejného klíče, je relativně snadné implementovat vlastní důvěryhodný web.
Jednou z výhod webu důvěryhodnosti, například v PGP, je to, že může spolupracovat s CA PKI plně důvěryhodnou pro všechny strany v doméně (například interní CA ve společnosti), která je ochotna zaručit certifikáty, jako důvěryhodný zavaděč. web důvěry „je zcela důvěryhodný, protože vzhledem k povaze sítě důvěryhodnosti poskytuje důvěryhodný jeden certifikát důvěru všem certifikátům na tomto webu. PKI je jen tak cenná jako standardy a postupy, které řídí vydávání certifikátů a zahrnutí PGP nebo osobně zavedeného webu důvěry by mohlo významně snížit důvěryhodnost implementace PKI v tomto podniku nebo doméně.
Koncept webu důvěry byl poprvé vytvořen tvůrcem PGP Philem Zimmermannem v 1992 v příručce pro PGP verze 2.0:
Postupem času budete shromažďovat klíče od jiných lidí, které budete chtít označit jako důvěryhodné úvodníky. Každý jiný si vybere své vlastní důvěryhodné zavaděče. A každý bude postupně shromažďovat a distribuovat pomocí svého klíče sbírku ověřovacích podpisů od jiných lidí, s očekáváním, že každý, kdo ji obdrží, bude důvěřovat alespoň jednomu nebo dvěma podpisům.To způsobí vznik decentralizované sítě odolnosti proti chybám pro všechny veřejné klíče.
Jednoduchá infrastruktura veřejného klíčeEdit
Další alternativou, která se nezabývá veřejným ověřováním informací veřejného klíče, je jednoduchá infrastruktura veřejného klíče (SPKI), která vyrostla ze tří nezávislých snah o překonání složitosti sítě důvěryhodnosti X.509 a PGP. SPKI nepřidružuje uživatelé s osobami, protože klíčem je důvěryhodné místo osoby. SPKI nepoužívá žádnou představu o důvěře, protože ověřovatel je také vydavatelem. V terminologii SPKI se tomu říká „autorizační smyčka“, kde je autorizace nedílnou součástí k jeho designu. Tento typ PKI je zvláště užitečný pro integraci PKI, které se nespoléhají na třetí strany při autorizaci certifikátu, informacích o certifikátu atd .; Dobrým příkladem je síť se vzduchovou mezerou v kanceláři.
Decentralizovaný PKIEdit
Decentralizovaný iden tifiers (DID) eliminuje závislost na centralizovaných registrech pro identifikátory a také na centralizovaných certifikačních autoritách pro správu klíčů, což je standard v hierarchickém PKI. V případech, kdy je registrem DID distribuovaná účetní kniha, může každá entita sloužit jako vlastní kořenová autorita. Tato architektura se označuje jako decentralizovaná PKI (DPKI).
Blockchain PKIEdit
Novým přístupem pro PKI je použití technologie blockchain běžně spojené s moderní kryptoměnou. Jelikož si technologie blockchain klade za cíl poskytnout distribuovanou a nezměnitelnou knihu informací, má vlastnosti považované za vysoce vhodné pro ukládání a správu veřejných klíčů. Některé kryptoměny podporují úložiště různých typů veřejných klíčů (SSH, GPG, RFC 2230 atd.) A poskytuje software s otevřeným zdrojovým kódem, který přímo podporuje PKI pro servery OpenSSH. Zatímco technologie blockchain může přiblížit důkaz o práci, která často podporuje důvěru v důvěru, kterou mají spoléhající se strany v PKI, zůstávají problémy, jako je administrativní shoda s politikou, provozní bezpečnost a kvalita implementace softwaru. Paradigma certifikační autority má tyto problémy bez ohledu na použité kryptografické metody a použité algoritmy a PKI, která se snaží vybavit certifikáty důvěryhodnými vlastnostmi, musí tyto problémy také řešit.
Zde je seznam známých PKI založených na blockchainu :
- CertCoin
- FlyClient
- BlockQuick