Általánosságban elmondható, hogy hagyományosan három megközelítés létezik ennek a bizalom megszerzésének: tanúsító hatóságok (CA), megbízhatósági háló (WoT) és egyszerű nyilvános kulcsú infrastruktúra (SPKI).
Certificate hatóságokEdit
A CA elsődleges feladata az adott felhasználóhoz kötött nyilvános kulcs digitális aláírása és közzététele. Ez a hitelesítésszolgáltató saját magánkulcsával történik, így a felhasználói kulcsba vetett bizalom a hitelesítésszolgáltató kulcsának érvényességében bízik. Ha a hitelesítésszolgáltató a felhasználótól és a rendszertől elkülönülő harmadik fél, akkor az úgynevezett Registration Authority (RA), amely lehet, hogy nem külön vagy külön a CA-tól. A kulcs-felhasználó kötés szoftverrel vagy emberi felügyelet mellett jön létre, a kötés biztosítékosságának szintjétől függően. / p>
A megbízható harmadik fél (TTP) kifejezés szintén használható a tanúsító hatóság számára (CA). Ezenkívül a PKI-t gyakran használják a CA megvalósításának szinonimájaként.
Kibocsátó piaci részesedéseEdit
Utolsó frissítés : < Utoljára frissítve: > (2020 január)
Ebben a bizalmi kapcsolat modellben s, a CA egy megbízható harmadik fél, akiben megbízik mind a tanúsítvány alanya (tulajdonosa), mind a tanúsítványra támaszkodó fél.
A NetCraft 2015-ös jelentése szerint az aktív monitorozás iparági szabványa A Transport Layer Security (TLS) tanúsítványok kimondják, hogy “bár a globális ökoszisztéma versenyképes, maroknyi jelentős hitelesítésszolgáltató uralja őket – három tanúsító hatóság (Symantec, Sectigo, GoDaddy) teszi ki a nyilvános webszerverek felé néz. A felmérés megkezdése óta a Symantec (vagy a VeriSign, mielőtt a Symantec megvásárolta volna) az első helyet foglalja el, jelenleg az összes tanúsítvány valamivel kevesebb, mint egyharmada. A különböző módszertanok hatásainak szemléltetésére a millió legforgalmasabb webhely közül a Symantec a használatban lévő érvényes, megbízható tanúsítványok 44% -át bocsátotta ki – ami lényegesen több, mint a teljes piaci részesedése. “
A tanúsítványkibocsátás mikéntjének főbb kérdései voltak. A Symantec 2017-től kezdődően fokozatosan bizalmatlanná tette a Symantec tanúsítványait.
Ideiglenes tanúsítványok és egyszeri bejelentkezésEdit
Ez a megközelítés olyan kiszolgálót foglal magában, amely offline tanúsító hatóságként működik egyetlen egységen belül. bejelentkezési rendszer. Az egyszeri bejelentkezési kiszolgáló kiadja a digitális tanúsítványokat az ügyfélrendszerbe, de soha nem tárolja őket. A felhasználók az ideiglenes tanúsítvánnyal futtathatnak programokat stb. Gyakran előfordul, hogy ezt a megoldásfajtát az X.509- alapú igazolások.
2020 szeptemberétől a TLS tanúsítvány érvényessége 13 hónapra csökkent.
A trustEdit webe
A nyilvános ke nyilvános hitelesítésének alternatív megközelítése y információ a web-of-trust rendszer, amely önaláírt tanúsítványokat és harmadik fél által készített tanúsítványokat használ. A „bizalom hálója” egyes kifejezés nem azt jelenti, hogy egyetlen bizalmi háló vagy közös bizalmi pont létezik, hanem a tetszőleges számú különálló „bizalmi háló” egyikét jelenti. Példák ennek a megközelítésnek a megvalósítására a PGP (Pretty Good Privacy) és a GnuPG (az OpenPGP, a PGP szabványosított specifikációjának megvalósítása). Mivel a PGP és a megvalósítások lehetővé teszik az e-mailes digitális aláírások használatát a nyilvános kulcsú információk önálló közzétételéhez, viszonylag könnyű megvalósítani a saját bizalmi hálózatát.
A web egyik előnye A bizalom, mint például a PGP-ben, az az, hogy megbízható bevezetőként képes együttműködni egy olyan PKI CA-val, amelyet a tartományban (például a vállalat belső CA-jában) teljes mértékben megbíznak, és akik hajlandók garantálni a tanúsítványokat. a bizalom webe “akkor teljesen megbízható, a bizalmi web jellege miatt az egyik tanúsítvány megbízása bizalmat ad az adott web összes tanúsítványának. A PKI csak annyira értékes, mint a tanúsítványok kibocsátását ellenőrző szabványok és gyakorlatok és a PGP vagy egy személyesen létrehozott bizalmi web bevonása jelentősen ronthatja az adott vállalkozás vagy domain domain PKI-megvalósításának megbízhatóságát.
A bizalmi háló koncepcióját először a PGP készítője, Phil Zimmermann hozta létre. 1992 a PGP 2.0 verziójának kézikönyvében:
Az idő múlásával kulcsokat gyűjtenek másoktól, amelyeket megbízható bevezetőként jelölhet meg. Mindenki más megválasztja a megbízható bemutatóit. És mindenki fokozatosan felhalmozza és kulcsával elosztja más emberek hiteles aláírásainak gyűjteményét, azzal az elvárással, hogy bárki, aki megkapja, megbízik legalább egy vagy két aláírásban.Ez decentralizált, hibatűrő bizalomháló megjelenését idézi elő az összes nyilvános kulcs számára.
Egyszerű nyilvános kulcsú infrastruktúraEdit
Egy másik alternatíva, amely nem foglalkozik a nyilvános kulcsú információk nyilvános hitelesítésével, az az egyszerű nyilvános kulcsú infrastruktúra (SPKI), amely három független erőfeszítésből nőtt ki az X.509 és a PGP bizalmi hálójának összetettségének leküzdésére. Az SPKI nem társul hozzá személyekkel rendelkező felhasználók, mivel a kulcs az, amiben megbíznak, nem pedig a személy. Az SPKI nem használ semmiféle bizalom fogalmat, mivel a hitelesítő egyben a kibocsátó is. Ezt az SPKI terminológiájában “engedélyezési huroknak” nevezik, ahol az engedélyezés szerves része Ez a típusú PKI kifejezetten hasznos a PKI integrálásához, amelyek nem támaszkodnak harmadik felekre a tanúsítvány engedélyezéséhez, a tanúsítványokkal kapcsolatos információkhoz stb. Erre jó példa az irodában levő légrés nélküli hálózat.
Decentralizált PKIEdit
Decentralizált azonosító A tifiers (DID) kiküszöböli az azonosítók központi nyilvántartásaitól, valamint a kulcskezelés központosított tanúsító hatóságaitól való függést, ami a hierarchikus PKI szabványa. Abban az esetben, ha a DID nyilvántartás elosztott főkönyv, minden entitás saját gyökér jogosultságként szolgálhat. Ezt az architektúrát decentralizált PKI-ként (DPKI) nevezik.
Blockchain-alapú PKIEdit
A PKI számára kialakulóban lévő megközelítés az, hogy a modern kriptovalutához általában társított blokklánc-technológiát használja. Mivel a blokklánc-technológia elosztott és megváltoztathatatlan információs főkönyvet kíván biztosítani, olyan tulajdonságokkal rendelkezik, amelyeket rendkívül alkalmasnak tartanak a nyilvános kulcsok tárolására és kezelésére. Néhány kriptovaluta támogatja a különféle nyilvános kulcsok (SSH, GPG, RFC 2230 stb.) Tárolását, és nyílt forráskódú szoftvereket biztosít, amelyek közvetlenül támogatják a PKI-t az OpenSSH szerverekhez. Míg a blokklánc technológia közelítheti a munka bizonyítékát, amely gyakran alátámasztja a bizalom bizalmát, amelyet a támaszkodó felek a PKI iránt tanúsítanak, továbbra is olyan kérdések maradnak fenn, mint az irányelvek adminisztratív megfelelése, az operatív biztonság és a szoftverek implementálásának minősége. A tanúsító hatóság paradigmájában ezek a problémák vannak, függetlenül az alapul szolgáló kriptográfiai módszerektől és alkalmazott algoritmusoktól, és a PKI-nek, amely megbízható tulajdonságokkal ruházza fel a tanúsítványokat, szintén meg kell oldania ezeket a problémákat.
Itt található az ismert blokklánc-alapú PKI felsorolása. :
- CertCoin
- FlyClient
- BlockQuick