Dune manière générale, il existe traditionnellement trois approches pour obtenir cette confiance: les autorités de certification (CA), le Web de confiance (WoT) et linfrastructure à clé publique simple (SPKI).
Autorités de certificationEdit
Le rôle principal de lautorité de certification est de signer et de publier numériquement la clé publique liée à un utilisateur donné. Cela se fait à laide de la propre clé privée de lautorité de certification, de sorte que la confiance dans la clé de lutilisateur repose sur la confiance de chacun dans la validité de la clé de lautorité de certification. Lorsque lautorité de certification est un tiers distinct de lutilisateur et du système, puis on lappelle lAutorité denregistrement (RA), qui peut ou non être distincte de lAC.La liaison clé-utilisateur est établie, en fonction du niveau dassurance de la liaison, par logiciel ou sous supervision humaine.
Le terme tiers de confiance (TTP) peut également être utilisé pour une autorité de certification (CA). De plus, PKI est elle-même souvent utilisée comme synonyme dune implémentation de CA.
Part de marché de lémetteur
Dernière mise à jour : < dernière mise à jour > (janvier 2020)
Dans ce modèle de relation de confiance s, une autorité de certification est un tiers de confiance – approuvé à la fois par le sujet (propriétaire) du certificat et par la partie qui se fie au certificat.
Selon le rapport NetCraft de 2015, la norme de lindustrie pour la surveillance active Les certificats TLS (Transport Layer Security) déclarent que «bien que lécosystème mondial soit compétitif, il est dominé par une poignée dautorités de certification majeures – trois autorités de certification (Symantec, Sectigo, GoDaddy) représentent les trois quarts de tous les certificats émis sur le public. face aux serveurs Web. La première place est détenue par Symantec (ou VeriSign avant son rachat par Symantec) depuis le début de lenquête, avec actuellement un peu moins dun tiers de tous les certificats. Pour illustrer leffet des différentes méthodologies, parmi les millions de sites les plus fréquentés, Symantec a émis 44% des certificats valides et de confiance utilisés – bien plus que sa part de marché globale. gérés, tous les principaux acteurs se méfient progressivement des certificats émis par Symantec à partir de 2017.
Certificats temporaires et single sign-onEdit
Cette approche implique un serveur qui agit comme une autorité de certification hors ligne au sein dun même système de connexion. Un serveur de connexion unique émettra des certificats numériques dans le système client, mais ne les stockera jamais. Les utilisateurs peuvent exécuter des programmes, etc. avec le certificat temporaire. Il est courant de trouver cette variété de solutions avec X.509- certificats basés sur les certificats.
À partir de septembre 2020, la validité du certificat TLS a été réduite à 13 mois.
Web of trustEdit
Une approche alternative au problème de lauthentification publique des clés publiques y information est le système de Web de confiance, qui utilise des certificats auto-signés et des attestations tierces de ces certificats. Le terme singulier «réseau de confiance» nimplique pas lexistence dun seul réseau de confiance, ou point de confiance commun, mais plutôt de lun des nombreux «réseaux de confiance» potentiellement disjoints. Des exemples dimplémentations de cette approche sont PGP (Pretty Good Privacy) et GnuPG (une implémentation dOpenPGP, la spécification normalisée de PGP). Étant donné que PGP et ses implémentations permettent lutilisation de signatures numériques par e-mail pour lauto-publication dinformations de clé publique, il est relativement facile de mettre en œuvre son propre réseau de confiance.
Lun des avantages du Web de confiance, comme dans PGP, est quil peut interagir avec une autorité de certification PKI entièrement approuvée par toutes les parties dun domaine (comme une autorité de certification interne dans une entreprise) qui est prête à garantir des certificats, en tant quintroducteur de confiance. Si le » Web of trust « est donc totalement fiable, du fait de la nature dun réseau de confiance, faire confiance à un certificat revient à accorder la confiance à tous les certificats de ce site Web. Une infrastructure à clé publique na pas autant de valeur que les normes et pratiques qui contrôlent lémission des certificats et inclure PGP ou un réseau de confiance personnellement institué pourrait dégrader considérablement la fiabilité de la mise en œuvre de PKI par cette entreprise ou ce domaine.
Le concept de réseau de confiance a été mis en avant par le créateur de PGP, Phil Zimmermann, en 1992 dans le manuel de PGP version 2.0:
Au fil du temps, vous accumulerez les clés dautres personnes que vous voudrez peut-être désigner comme des introducteurs de confiance. Tous les autres choisiront chacun leurs propres introducteurs de confiance. Et chacun va progressivement accumuler et distribuer avec sa clé une collection de signatures certifiantes dautres personnes, dans lespoir que quiconque la recevra fera confiance à au moins une ou deux des signatures.Cela entraînera lémergence dun réseau de confiance décentralisé et tolérant aux pannes pour toutes les clés publiques.
Infrastructure à clé publique simple Modifier
Autre Une alternative, qui ne traite pas de lauthentification publique des informations de clé publique, est la simple infrastructure à clé publique (SPKI) qui est née de trois efforts indépendants pour surmonter les complexités de X.509 et du réseau de confiance de PGP. SPKI ne sassocie pas utilisateurs avec des personnes, puisque la clé est ce qui est de confiance, plutôt que la personne. SPKI nutilise aucune notion de confiance, car le vérificateur est également lémetteur. Cest ce quon appelle une « boucle dautorisation » dans la terminologie SPKI, où lautorisation est intégrale Ce type de PKI est particulièrement utile pour effectuer des intégrations de PKI qui ne dépendent pas de tiers pour lautorisation de certificat, les informations de certificat, etc. Un bon exemple de ceci est un réseau Air-gap dans un bureau.
PKIEdit décentralisé
Iden décentralisé tifiers (DID) élimine la dépendance vis-à-vis des registres centralisés pour les identifiants ainsi que des autorités de certification centralisées pour la gestion des clés, qui est la norme en PKI hiérarchique. Dans les cas où le registre DID est un registre distribué, chaque entité peut servir de sa propre autorité racine. Cette architecture est appelée PKI décentralisée (DPKI).
PKIEdit basée sur la blockchain
Une approche émergente pour PKI consiste à utiliser la technologie blockchain communément associée à la crypto-monnaie moderne. Étant donné que la technologie blockchain vise à fournir un registre dinformations distribué et inaltérable, elle présente des qualités considérées comme hautement appropriées pour le stockage et la gestion des clés publiques. Certaines crypto-monnaies prennent en charge le stockage de différents types de clés publiques (SSH, GPG, RFC 2230, etc.) et fournissent un logiciel open source qui prend directement en charge PKI pour les serveurs OpenSSH. Alors que la technologie de la blockchain peut se rapprocher de la preuve de travail qui sous-tend souvent la confiance dans la confiance que les parties de confiance ont dans une PKI, des problèmes demeurent tels que la conformité administrative à la politique, la sécurité opérationnelle et la qualité de la mise en œuvre logicielle. Un paradigme dautorité de certification a ces problèmes indépendamment des méthodes cryptographiques et des algorithmes sous-jacents utilisés, et PKI qui cherche à doter des certificats avec des propriétés dignes de confiance doit également résoudre ces problèmes.
Voici une liste des PKI connues basées sur la blockchain :
- CertCoin
- FlyClient
- BlockQuick