Generelt har der traditionelt været tre tilgange til at få denne tillid: certifikatmyndigheder (CAer), web of trust (WoT) og simpel offentlig nøgleinfrastruktur (SPKI).
Certifikatmyndigheder Rediger
CAs primære rolle er at signere og offentliggøre den offentlige nøgle, der er bundet til en given bruger, digitalt. Dette gøres ved hjælp af CAs egen private nøgle, således at tillid til brugernøglen er afhængig af ens tillid til gyldigheden af CAs nøgle. Når CA er en tredjepart adskilt fra brugeren og systemet, så kaldes det Registration Authority (RA), som måske eller måske ikke er adskilt fra CA. Nøglen til bruger-binding oprettes, afhængigt af det sikkerhedsniveau, bindingen har, ved software eller under menneskelig opsyn / p>
Udtrykket betroet tredjepart (TTP) kan også bruges om certifikatmyndighed (CA). Desuden bruges PKI ofte i sig selv som et synonym for en CA-implementering.
Udsteders markedsandel Rediger
Sidste opdatering : < sidst opdateret > (januar 2020)
I denne model af tillidsforhold s, en CA er en pålidelig tredjepart – betroet både af certifikatets emne (ejer) og af den part, der stoler på certifikatet.
Ifølge NetCraft-rapporten fra 2015 er industristandarden til overvågning aktiv Transport Layer Security (TLS) -certifikater siger, at “Selvom det globale økosystem er konkurrencedygtigt, er det domineret af en håndfuld større CAer – tre certifikatmyndigheder (Symantec, Sectigo, GoDaddy) tegner sig for tre fjerdedele af alle udstedte certifikater på offentlige overfor webservere. Toppen har været i Symantec (eller VeriSign, før den blev købt af Symantec) lige siden undersøgelsen startede, idet den i øjeblikket tegner sig for knap en tredjedel af alle certifikater. For at illustrere effekten af forskellige metoder, blandt de millioner travleste websteder, udstedte Symantec 44% af de gyldige, pålidelige certifikater, der var i brug – betydeligt mere end den samlede markedsandel. “
Efter store problemer med, hvordan certifikatudstedelse var administreret, mistillede alle større spillere gradvist Symantec udstedte certifikater fra og med 2017.
Midlertidige certifikater og single sign-onEdit
Denne tilgang involverer en server, der fungerer som en offline certifikatmyndighed inden for en enkelt logon-system. En enkelt sign-on-server udsteder digitale certifikater i klientsystemet, men gemmer dem aldrig. Brugere kan udføre programmer osv. med det midlertidige certifikat. Det er almindeligt at finde denne løsningsvariant med X.509- baserede certifikater.
Fra september 2020 reduceres TLS-certifikatets gyldighed til 13 måneder.
Web of trustEdit
En alternativ tilgang til problemet med offentlig godkendelse af offentlig ke y-oplysninger er web-of-trust-ordningen, der bruger selvsignerede certifikater og tredjepartsattestationer af disse certifikater. Det entydige udtryk “tillidsnet” indebærer ikke eksistensen af et enkelt tillidsnet eller fælles tillidssted, men snarere et af et hvilket som helst antal potentielt uensartede “tillidsnettet”. Eksempler på implementeringer af denne tilgang er PGP (Pretty Good Privacy) og GnuPG (en implementering af OpenPGP, den standardiserede specifikation af PGP). Da PGP og implementeringer tillader brug af digitale e-mail-signaturer til selvpublikation af offentlig nøgleinformation, er det relativt let at implementere sit eget tillidsnet.
En af fordelene ved internettet tillid, som f.eks. i PGP, er, at det kan interoperere med en PKI CA, der er fuldt pålidelig af alle parter i et domæne (såsom en intern CA i et firma), der er villig til at garantere certifikater, som en betroet introducer. Hvis ” web of trust “er fuldstændig betroet da på grund af karakteren af et web af tillid er tillid til et certifikat at give tillid til alle certifikaterne på dette web. En PKI er kun så værdifuld som standarder og praksis, der styrer udstedelse af certifikater og inkludering af PGP eller et personligt oprettet web af tillid kunne væsentligt forringe troværdigheden af den virksomheds eller domænes implementering af PKI.
Begrebet web of trust blev først fremsat af PGP-skaberen Phil Zimmermann i 1992 i manualen til PGP version 2.0:
Efterhånden som du går, vil du samle nøgler fra andre mennesker, som du måske vil udpege som pålidelige introduktioner. Alle andre vælger hver deres pålidelige introduktioner. Og alle vil gradvist akkumulere og distribuere med deres nøgle en samling certificerende underskrifter fra andre mennesker med forventning om, at enhver, der modtager den, vil stole på mindst en eller to af underskrifterne.Dette vil medføre, at der opstår et decentralt fejltolerant net af tillid for alle offentlige nøgler.
Enkel offentlig nøgleinfrastruktur Rediger
En anden alternativ, der ikke beskæftiger sig med offentlig godkendelse af offentlig nøgleinformation, er den enkle offentlige nøgleinfrastruktur (SPKI), der voksede ud af tre uafhængige bestræbelser på at overvinde kompleksiteten i X.509 og PGPs web af tillid. SPKI forbinder ikke brugere med personer, da nøglen er det, der er tillid til, snarere end personen. SPKI bruger ikke nogen forestilling om tillid, da verifikatoren også er udsteder. Dette kaldes en “autorisationssløjfe” i SPKI-terminologi, hvor autorisationen er integreret til dets design. Denne type PKI er specielt nyttig til at foretage integrationer af PKI, der ikke er afhængige af tredjeparter til certifikatgodkendelse, certifikatinformation osv .; Et godt eksempel på dette er et Air-gapped netværk på et kontor.
Decentraliseret PKIEdit
Decentraliseret iden tifiers (DIDer) eliminerer afhængighed af centraliserede registre for identifikatorer samt centraliserede certifikatmyndigheder for nøglehåndtering, hvilket er standarden i hierarkisk PKI. I tilfælde, hvor DID-registreringsdatabasen er en distribueret hovedbog, kan hver enhed fungere som sin egen rodmyndighed. Denne arkitektur kaldes decentral PKI (DPKI).
Blockchain-baseret PKIEdit
En kommende tilgang til PKI er at bruge blockchain-teknologien, der almindeligvis er forbundet med moderne kryptokurrency. Da blockchain-teknologi sigter mod at tilvejebringe en distribueret og uforanderlig hovedbog med information, har den kvaliteter, der betragtes som meget egnede til opbevaring og styring af offentlige nøgler. Nogle kryptokurver understøtter lagring af forskellige offentlige nøgletyper (SSH, GPG, RFC 2230 osv.) Og leverer open source-software, der direkte understøtter PKI til OpenSSH-servere. Mens blockchain-teknologi kan tilnærme beviset på arbejde, der ofte understøtter den tillid, som tillidspartier har til en PKI, forbliver problemer som administrativ overensstemmelse med politik, operationel sikkerhed og softwareimplementeringskvalitet. Et certifikatmyndighedsparadigme har disse problemer uanset de underliggende kryptografiske metoder og anvendte algoritmer, og PKI, der søger at give certifikater med pålidelige egenskaber, skal også løse disse problemer.
Her er en liste over kendte blockchain-baserede PKI :
- CertCoin
- FlyClient
- BlockQuick