Yleisesti ottaen tämän luottamuksen saamiseen on perinteisesti ollut kolme tapaa: varmentajat (CA), luottamusverkko (WoT) ja yksinkertainen julkisen avaimen infrastruktuuri (SPKI).
VarmenneviranomaisetMuokkaa
Varmentajan ensisijainen tehtävä on allekirjoittaa ja julkaista digitaalisesti tiettyyn käyttäjään sidottu julkinen avain. Tämä tapahtuu varmentajan omalla yksityisellä avaimella, joten luottamus käyttäjän avaimeen riippuu luotettavasta varmentajan avaimen kelvollisuuteen. Kun varmentaja on käyttäjästä ja järjestelmästä erillinen kolmas osapuoli, Sitten sitä kutsutaan rekisteröintiviranomaiseksi (RA), joka voi olla erillinen varmentajasta, mutta ei välttämättä. Avain käyttäjälle -sidonta määritetään ohjelmiston avulla tai ihmisen valvonnassa riippuen sitoutumisen varmuuden tasosta. / p>
Termiä luotettu kolmas osapuoli (TTP) voidaan käyttää myös varmenteen myöntäjään (CA). Lisäksi PKI: tä käytetään itse synonyyminä varmentajan toteutukselle.
Liikkeeseenlaskijan markkinaosuusMuokkaa
Viimeisin päivitys : < päivitetty viimeksi > (tammikuu 2020)
Tässä luottamussuhteen mallissa s, CA on luotettu kolmas osapuoli – luottaa sekä varmenteen kohde (omistaja) että varmenteeseen luottava osapuoli.
Vuoden 2015 NetCraft-raportin mukaan aktiivisen seurannan alan standardi TLS (Transport Layer Security) -sertifikaateissa todetaan, että ”Vaikka maailmanlaajuinen ekosysteemi on kilpailukykyinen, sitä hallitsee muutama merkittävä varmentaja – kolme varmentajaa (Symantec, Sectigo, GoDaddy) on kolme neljäsosaa kaikista julkisten Web-palvelimet. Symantec (tai VeriSign ennen kuin Symantec osti sen) oli kärkipaikalla tutkimuksen alusta lähtien, ja sen osuus tällä hetkellä on vajaa kolmasosa kaikista sertifikaateista. Eri menetelmien vaikutusten havainnollistamiseksi Symantec antoi miljoonan vilkkaimman sivuston joukossa 44% käytössä olevista luotetuista varmenteista – huomattavasti enemmän kuin sen kokonaismarkkinaosuus. ”
Seuraavat tärkeät kysymykset varmenteiden myöntämisessä hallittu, kaikki suuret toimijat epäluottivat asteittain Symantecin myöntämiä varmenteita vuodesta 2017 lähtien.
Väliaikaiset varmenteet ja kertakirjautuminenMuokkaa
Tässä lähestymistavassa palvelin toimii offline-varmenteen myöntäjänä yhden yksikön sisällä. kirjautumisjärjestelmä. Yksi kirjautumispalvelin antaa digitaalisia varmenteita asiakasjärjestelmään, mutta ei koskaan tallenna niitä. Käyttäjät voivat suorittaa ohjelmia jne. väliaikaisella varmenteella. On tavallista löytää tämä ratkaisuvaihtoehto X.509- perustuvat varmenteet.
Syyskuusta 2020 TLS-varmenteen voimassaoloaika on laskettu 13 kuukauteen.
Web of trustEdit
Vaihtoehtoinen lähestymistapa julkisen ke: n julkisen todentamisen ongelmaan y-tieto on luottamusverkko, joka käyttää itse allekirjoitettuja varmenteita ja näiden varmenteiden kolmannen osapuolen varmenteita. Yksittäinen termi ”luottamusverkko” ei tarkoita yhden luottamusverkon tai yhteisen luottamuspisteen olemassaoloa, vaan pikemminkin yhtä kaikista mahdollisista epäyhtenäisistä ”luottamusverkoista”. Esimerkkejä tämän lähestymistavan toteutuksista ovat PGP (Pretty Good Privacy) ja GnuPG (OpenPGP: n, PGP: n standardoidun spesifikaation) toteutus. Koska PGP ja toteutukset mahdollistavat sähköpostin digitaalisten allekirjoitusten käytön julkisen avaimen tietojen itsejulkaisemiseen, oman luottamusverkon toteuttaminen on suhteellisen helppoa.
Yksi verkon eduista Luotettavuus, kuten PGP: ssä, on se, että se voi olla vuorovaikutuksessa sellaisen PKI-varmentajan kanssa, johon kaikki toimialueen osapuolet (kuten yrityksen sisäinen varmentaja) luottavat, jotka ovat valmiita takaamaan varmenteet, luotettavana käyttöönottajana. luottamusverkko ”on silloin täysin luotettava, luottamusverkon luonteen vuoksi yhden varmenteen luottaminen merkitsee luottamusta kaikille kyseisen verkon varmenteille. PKI on vain yhtä arvokas kuin sertifikaattien myöntämistä valvovat standardit ja käytännöt. ja PGP: n tai henkilökohtaisesti perustetun luottamusverkon sisällyttäminen voi merkittävästi heikentää kyseisen yrityksen tai verkkotunnuksen PKI-toteutuksen luotettavuutta.
Luotettavuusverkon käsitteen esitti ensin PGP-luoja Phil Zimmermann 1992 PGP-version 2.0 käsikirjassa:
Ajan myötä keräät avaimia muilta ihmisiltä, jotka haluat ehkä nimetä luotettaviksi esittelijöiksi. Kaikki muut valitsevat kukin oman luotettavan esittelijänsä. Ja jokainen kerää vähitellen ja jakaa avaimensa kanssa kokoelman varmentavia allekirjoituksia muilta ihmisiltä odottaen, että kuka tahansa, joka sen saa, luottaa ainakin yhteen tai kahteen allekirjoitukseen.Tämä aiheuttaa hajautetun vikasietoisen luottamusverkon syntymisen kaikille julkisille avaimille.
Yksinkertainen julkisen avaimen infrastruktuuriMuokkaa
Toinen Vaihtoehto, joka ei käsittele julkisen avaimen tietojen julkista todennusta, on yksinkertainen julkisen avaimen infrastruktuuri (SPKI), joka kasvoi kolmesta itsenäisestä toiminnasta X.509: n ja PGP: n luottamuksen verkon monimutkaisuuden voittamiseksi. Käyttäjät, joilla on henkilöitä, koska avain on luotettavuus, eikä henkilö. SPKI ei käytä mitään luottamuksen käsitettä, koska todentaja on myös liikkeeseenlaskija. Tätä kutsutaan SPKI-terminologiassa ”valtuutuspiiriksi”, jossa valtuutus on olennainen osa Tämäntyyppinen PKI on erityisen hyödyllinen sellaisten PKI-integrointien tekemisessä, jotka eivät luota varmenteiden valtuutukseen, varmentetietoihin jne. kolmansille osapuolille; Hyvä esimerkki tästä on toimiston ilmarakoinen verkko.
Hajautettu PKIEdit
Hajautettu identiteetti tifiers (DID) eliminoi riippuvuuden tunnistimien keskitetyistä rekistereistä sekä keskitetyistä varmenneviranomaisista avainten hallinnassa, mikä on standardi hierarkkisessa PKI: ssä. Tapauksissa, joissa DID-rekisteri on hajautettu pääkirja, kukin yksikkö voi toimia omana pääkäyttäjänä. Tätä arkkitehtuuria kutsutaan hajautetuksi PKI: ksi (DPKI).
Blockchain-pohjainen PKIEdit
PKI: lle on tulossa uusi lähestymistapa käyttää blockchain-tekniikkaa, joka liittyy yleisesti nykyaikaiseen kryptovaluuttaan. Koska lohkoketjutekniikan tavoitteena on tarjota hajautettu ja muuttamaton tietokirja, sillä on ominaisuuksia, joita pidetään erittäin sopivina julkisten avainten tallentamiseen ja hallintaan. Jotkut kryptovaluutat tukevat erilaisten julkisten avaintyyppien (SSH, GPG, RFC 2230 jne.) Tallennusta ja tarjoavat avoimen lähdekoodin ohjelmistoja, jotka tukevat suoraan PKI: tä OpenSSH-palvelimille. Vaikka lohkoketjuteknologia voi arvioida työn todisteen, joka usein tukee luottamusta luottaviin osapuoliin PKI: n suhteen, kysymykset, kuten hallinnon noudattaminen politiikassa, operatiivinen turvallisuus ja ohjelmistojen toteutuksen laatu, ovat edelleen olemassa. Varmenteen myöntäjän paradigmassa on nämä ongelmat käytetyistä salausmenetelmistä ja käytetyistä algoritmeista riippumatta, ja PKI: n, joka pyrkii antamaan varmenteille luotettavia ominaisuuksia, on myös puututtava näihin ongelmiin.
Tässä on luettelo tunnetuista blockchain-pohjaisista PKI: stä. :
- CertCoin
- FlyClient
- BlockQuick