Allgemein gesagt gibt es traditionell drei Ansätze, um dieses Vertrauen zu erhalten: Zertifizierungsstellen (CAs), Web of Trust (WoT) und einfache Infrastruktur für öffentliche Schlüssel (SPKI).
Zertifizierungsstellen bearbeiten
Die Hauptaufgabe der Zertifizierungsstelle besteht darin, den an einen bestimmten Benutzer gebundenen öffentlichen Schlüssel digital zu signieren und zu veröffentlichen. Dies erfolgt unter Verwendung des eigenen privaten Schlüssels der Zertifizierungsstelle, sodass das Vertrauen in den Benutzerschlüssel vom Vertrauen in die Gültigkeit des Schlüssels der Zertifizierungsstelle abhängt. Wenn die Zertifizierungsstelle ein vom Benutzer und vom System getrennter Dritter ist, dann wird es als Registrierungsstelle (Registration Authority, RA) bezeichnet, die von der Zertifizierungsstelle getrennt sein kann oder nicht. Die Bindung zwischen Schlüssel und Benutzer wird abhängig von der Sicherheit, die die Bindung hat, durch Software oder unter menschlicher Aufsicht hergestellt / p>
Der Begriff Trusted Third Party (TTP) kann auch für Certificate Authority (CA) verwendet werden. Darüber hinaus wird PKI häufig selbst als Synonym für eine CA-Implementierung verwendet.
Issuer market shareEdit
Letzte Aktualisierung : < zuletzt aktualisiert > (Januar 2020)
In diesem Modell der Vertrauensbeziehung s, eine Zertifizierungsstelle ist ein vertrauenswürdiger Dritter – sowohl vom Betreff (Eigentümer) des Zertifikats als auch von der Partei, die sich auf das Zertifikat verlässt.
Laut NetCraft-Bericht aus dem Jahr 2015 ist der Industriestandard für die Überwachung aktiv In TLS-Zertifikaten (Transport Layer Security) heißt es: „Obwohl das globale Ökosystem wettbewerbsfähig ist, wird es von einer Handvoll wichtiger Zertifizierungsstellen dominiert. Drei Zertifizierungsstellen (Symantec, Sectigo, GoDaddy) machen drei Viertel aller öffentlich ausgestellten Zertifikate aus. mit Blick auf Webserver. Der Spitzenplatz wurde seit Beginn der Umfrage von Symantec (oder VeriSign, bevor es von Symantec gekauft wurde) gehalten. Derzeit macht es knapp ein Drittel aller Zertifikate aus. Um die Auswirkungen unterschiedlicher Methoden zu veranschaulichen, hat Symantec unter den Millionen am stärksten frequentierten Standorten 44% der gültigen, vertrauenswürdigen Zertifikate ausgestellt – deutlich mehr als sein Gesamtmarktanteil. „
Nach wichtigen Problemen bei der Ausstellung von Zertifikaten Alle Hauptakteure misstrauten nach und nach den von Symantec ausgestellten Zertifikaten, die ab 2017 ausgestellt wurden Anmeldesystem: Ein einzelner Anmeldeserver stellt digitale Zertifikate im Client-System aus, speichert sie jedoch nie. Benutzer können Programme usw. mit dem temporären Zertifikat ausführen. Es ist üblich, diese Lösungsvariante mit X.509- zu finden. basierte Zertifikate.
Ab September 2020 wurde die Gültigkeit des TLS-Zertifikats auf 13 Monate reduziert.
Web of TrustEdit
Ein alternativer Ansatz zum Problem der öffentlichen Authentifizierung von public ke Bei diesen Informationen handelt es sich um das Web-of-Trust-System, bei dem selbstsignierte Zertifikate und Bescheinigungen dieser Zertifikate durch Dritte verwendet werden. Der singuläre Begriff „Vertrauensnetz“ impliziert nicht die Existenz eines einzelnen Vertrauensnetzes oder eines gemeinsamen Vertrauenspunkts, sondern eines von einer beliebigen Anzahl potenziell disjunkter „Vertrauensnetze“. Beispiele für Implementierungen dieses Ansatzes sind PGP (Pretty Good Privacy) und GnuPG (eine Implementierung von OpenPGP, der standardisierten Spezifikation von PGP). Da PGP und Implementierungen die Verwendung digitaler E-Mail-Signaturen zur Selbstveröffentlichung von Informationen mit öffentlichen Schlüsseln ermöglichen, ist es relativ einfach, das eigene Vertrauensnetz zu implementieren.
Einer der Vorteile des Webs Vertrauen, wie in PGP, besteht darin, dass es mit einer PKI-Zertifizierungsstelle zusammenarbeiten kann, die von allen Parteien in einer Domäne (z. B. einer internen Zertifizierungsstelle in einem Unternehmen), die bereit ist, Zertifikate zu garantieren, als vertrauenswürdiger Einführer vollständig vertrauenswürdig ist. Web of Trust „ist dann aufgrund der Natur eines Web of Trust vollständig vertrauenswürdig. Wenn Sie einem Zertifikat vertrauen, wird allen Zertifikaten in diesem Web Vertrauen gewährt. Eine PKI ist nur so wertvoll wie die Standards und Praktiken, die die Ausstellung von Zertifikaten steuern Das Einbeziehen von PGP oder eines persönlich eingerichteten Vertrauensnetzes könnte die Vertrauenswürdigkeit der PKI-Implementierung dieses Unternehmens oder dieser Domäne erheblich beeinträchtigen.
Das Konzept des Vertrauensnetzes wurde erstmals von PGP-Erfinder Phil Zimmermann in 1992 im Handbuch für PGP Version 2.0:
Im Laufe der Zeit sammeln Sie Schlüssel von anderen Personen, die Sie möglicherweise als vertrauenswürdige Einführer festlegen möchten. Alle anderen wählen ihre eigenen vertrauenswürdigen Einführer. Und jeder wird nach und nach eine Sammlung von Zertifizierungssignaturen von anderen Personen sammeln und mit seinem Schlüssel verteilen, mit der Erwartung, dass jeder, der sie erhält, mindestens einer oder zwei der Signaturen vertraut.Dies führt zur Entstehung eines dezentralen fehlertoleranten Vertrauensnetzes für alle öffentlichen Schlüssel.
Einfache Infrastruktur für öffentliche SchlüsselEdit
Ein weiteres Eine Alternative, die sich nicht mit der öffentlichen Authentifizierung von Public-Key-Informationen befasst, ist die einfache Public-Key-Infrastruktur (SPKI), die aus drei unabhängigen Bemühungen zur Überwindung der Komplexität von X.509 und PGPs Vertrauensnetz entstanden ist. SPKI assoziiert nicht Benutzer mit Personen, da der Schlüssel eher der vertrauenswürdige als die Person ist. SPKI verwendet keinen Vertrauensbegriff, da der Prüfer auch der Aussteller ist. Dies wird in der SPKI-Terminologie als „Autorisierungsschleife“ bezeichnet, wobei die Autorisierung ein integraler Bestandteil ist Diese Art von PKI ist besonders nützlich, um Integrationen von PKI vorzunehmen, die nicht auf Dritte angewiesen sind, um Zertifikatsautorisierung, Zertifikatsinformationen usw. zu erhalten. Ein gutes Beispiel hierfür ist ein Netzwerk mit Luftspalt in einem Büro.
Dezentrale PKIEdit
Dezentrale ID Tifiers (DIDs) eliminieren die Abhängigkeit von zentralisierten Registern für Identifikatoren sowie von zentralisierten Zertifizierungsstellen für die Schlüsselverwaltung, was der Standard in der hierarchischen PKI ist. In Fällen, in denen die DID-Registrierung ein verteiltes Hauptbuch ist, kann jede Entität als eigene Stammberechtigung dienen. Diese Architektur wird als dezentrale PKI (DPKI) bezeichnet.
Blockchain-basiertes PKIEdit
Ein neuer Ansatz für PKI ist die Verwendung der Blockchain-Technologie, die üblicherweise mit moderner Kryptowährung verbunden ist. Da die Blockchain-Technologie darauf abzielt, ein verteiltes und unveränderliches Informationsbuch bereitzustellen, weist sie Eigenschaften auf, die für die Speicherung und Verwaltung öffentlicher Schlüssel als äußerst geeignet angesehen werden. Einige Kryptowährungen unterstützen die Speicherung verschiedener öffentlicher Schlüsseltypen (SSH, GPG, RFC 2230 usw.) und bieten Open Source-Software, die PKI für OpenSSH-Server direkt unterstützt. Während die Blockchain-Technologie den Arbeitsnachweis annähern kann, der häufig das Vertrauen der vertrauenden Parteien in eine PKI untermauert, bleiben Probleme wie die administrative Konformität mit Richtlinien, die Betriebssicherheit und die Qualität der Softwareimplementierung bestehen. Ein Zertifizierungsstellenparadigma weist diese Probleme unabhängig von den zugrunde liegenden kryptografischen Methoden und Algorithmen auf, und PKI, die Zertifikate mit vertrauenswürdigen Eigenschaften ausstatten möchte, muss diese Probleme ebenfalls beheben.
Hier ist eine Liste bekannter blockchain-basierter PKI :
- CertCoin
- FlyClient
- BlockQuick