En términos generales, tradicionalmente ha habido tres enfoques para obtener esta confianza: autoridades de certificación (CA), web de confianza (WoT) e infraestructura de clave pública simple (SPKI).
Autoridades de certificaciónEditar
La función principal de la CA es firmar digitalmente y publicar la clave pública vinculada a un usuario determinado. Esto se hace utilizando la propia clave privada de la CA, de modo que la confianza en la clave del usuario se basa en la confianza de uno en la validez de la clave de la CA. Cuando la CA es un tercero separado del usuario y del sistema, luego se llama Autoridad de Registro (RA), que puede o no estar separada de la CA. La vinculación de clave a usuario se establece, dependiendo del nivel de seguridad que tenga la vinculación, por software o bajo supervisión humana.
El término tercero de confianza (TTP) también se puede usar para la autoridad de certificación (CA). Además, PKI se usa a menudo como sinónimo de implementación de CA.
Participación de mercado del emisorEditar
Última actualización : < última actualización > (enero de 2020)
En este modelo de relación de confianza s, una CA es un tercero confiable, en el que confían tanto el sujeto (propietario) del certificado como la parte que confía en el certificado.
Según el informe de NetCraft de 2015, el estándar de la industria para el monitoreo activo Los certificados Transport Layer Security (TLS) afirman que «aunque el ecosistema global es competitivo, está dominado por un puñado de CA importantes: tres autoridades certificadoras (Symantec, Sectigo, GoDaddy) representan las tres cuartas partes de todos los certificados emitidos en frente a servidores web. Symantec (o VeriSign antes de que Symantec lo comprara) ocupaba el primer puesto desde que comenzó la encuesta, y actualmente representa poco menos de un tercio de todos los certificados. Para ilustrar el efecto de las diferentes metodologías, entre los millones de sitios más ocupados, Symantec emitió el 44% de los certificados válidos y confiables en uso, significativamente más que su participación de mercado general «.
Después de los principales problemas sobre cómo se emitieron los certificados administrado, todos los jugadores principales desconfiaron gradualmente de los certificados emitidos por Symantec a partir de 2017.
Certificados temporales e inicio de sesión únicoEditar
Este enfoque implica un servidor que actúa como una autoridad de certificación fuera de línea dentro de una sola sistema de inicio de sesión. Un servidor de inicio de sesión único emitirá certificados digitales en el sistema cliente, pero nunca los almacenará. Los usuarios pueden ejecutar programas, etc. con el certificado temporal. Es común encontrar esta variedad de soluciones con X.509- certificados basados en.
A partir de septiembre de 2020, la validez del certificado TLS se reduce a 13 meses.
Web of trustEdit
Un enfoque alternativo al problema de la autenticación pública de claves públicas y la información es el esquema de web de confianza, que utiliza certificados autofirmados y atestaciones de terceros de esos certificados. El término singular «red de confianza» no implica la existencia de una única red de confianza, o un punto común de confianza, sino más bien una de una serie de «redes de confianza» potencialmente disjuntas. Ejemplos de implementaciones de este enfoque son PGP (Pretty Good Privacy) y GnuPG (una implementación de OpenPGP, la especificación estandarizada de PGP). Debido a que PGP y las implementaciones permiten el uso de firmas digitales de correo electrónico para la auto-publicación de información de clave pública, es relativamente fácil implementar su propia web de confianza.
Uno de los beneficios de la web de confianza, como en PGP, es que puede interoperar con una CA de PKI en la que todas las partes en un dominio (como una CA interna en una empresa) confían plenamente en los certificados, como presentador de confianza. Si el » web of trust «es completamente confiable entonces, debido a la naturaleza de una web de confianza, confiar en un certificado es otorgar confianza a todos los certificados en esa web. Una PKI es tan valiosa como los estándares y prácticas que controlan la emisión de certificados e incluir PGP o una red de confianza instituida personalmente podría degradar significativamente la confiabilidad de la implementación de PKI de esa empresa o dominio.
El concepto de red de confianza fue presentado por primera vez por el creador de PGP, Phil Zimmermann en 1992 en el manual de PGP versión 2.0:
A medida que pasa el tiempo, acumulará claves de otras personas a las que quizás desee designar como presentadores de confianza. Todos los demás elegirán sus propios presentadores de confianza. Y gradualmente todos irán acumulando y distribuyendo con su clave una colección de firmas certificantes de otras personas, con la expectativa de que quien la reciba confíe en al menos una o dos de las firmas.Esto provocará la aparición de una red de confianza descentralizada tolerante a fallos para todas las claves públicas.
Infraestructura de clave pública simpleEditar
Otro La alternativa, que no se ocupa de la autenticación pública de la información de clave pública, es la infraestructura de clave pública simple (SPKI) que surgió de tres esfuerzos independientes para superar las complejidades de X.509 y la red de confianza de PGP. SPKI no asocia usuarios con personas, ya que la clave es lo que se confía, en lugar de la persona. SPKI no utiliza ninguna noción de confianza, ya que el verificador también es el emisor. Esto se denomina «ciclo de autorización» en la terminología de SPKI, donde la autorización es integral Este tipo de PKI es especialmente útil para realizar integraciones de PKI que no dependen de terceros para la autorización de certificados, información de certificados, etc .; un buen ejemplo de esto es una red Air-gapped en una oficina.
PKIEdit descentralizado
Identificación descentralizada Los identificadores (DID) eliminan la dependencia de los registros centralizados para los identificadores, así como de las autoridades certificadoras centralizadas para la gestión de claves, que es el estándar en PKI jerárquica. En los casos en que el registro DID es un libro mayor distribuido, cada entidad puede actuar como su propia autoridad raíz. Esta arquitectura se conoce como PKI descentralizada (DPKI).
PKIEdit basado en blockchain
Un enfoque emergente para PKI es utilizar la tecnología blockchain comúnmente asociada con la criptomoneda moderna. Dado que la tecnología blockchain tiene como objetivo proporcionar un libro mayor de información distribuido e inalterable, tiene cualidades consideradas altamente adecuadas para el almacenamiento y la gestión de claves públicas. Algunas criptomonedas admiten el almacenamiento de diferentes tipos de claves públicas (SSH, GPG, RFC 2230, etc.) y proporcionan software de código abierto que admite directamente PKI para servidores OpenSSH. Si bien la tecnología blockchain puede aproximarse a la prueba de trabajo que a menudo respalda la confianza en la confianza que las partes que confían tienen en una PKI, persisten problemas como el cumplimiento administrativo de la política, la seguridad operativa y la calidad de implementación del software. Un paradigma de autoridad de certificación tiene estos problemas independientemente de los métodos y algoritmos criptográficos subyacentes empleados, y la PKI que busca dotar a los certificados con propiedades confiables también debe abordar estos problemas.
Aquí hay una lista de PKI conocida basada en blockchain :
- CertCoin
- FlyClient
- BlockQuick