In generale, ci sono stati tradizionalmente tre approcci per ottenere questa fiducia: autorità di certificazione (CA), rete di fiducia (WoT) e semplice infrastruttura a chiave pubblica (SPKI).
Autorità di certificazioneModifica
Il ruolo principale della CA consiste nel firmare digitalmente e pubblicare la chiave pubblica associata a un determinato utente. Ciò viene fatto utilizzando la chiave privata della CA, in modo che la fiducia nella chiave utente si basi sulla fiducia nella validità della chiave della CA. Quando la CA è una terza parte separata dallutente e dal sistema, quindi si chiama Registration Authority (RA), che può o non può essere separata dalla CA. Il binding key-to-user viene stabilito, a seconda del livello di garanzia del binding, tramite software o sotto la supervisione umana.
Il termine Trusted Third Party (TTP) può essere utilizzato anche per lautorità di certificazione (CA). Inoltre, PKI è di per sé spesso utilizzato come sinonimo di unimplementazione di CA.
Quota di mercato dellemittenteModifica
Ultimo aggiornamento : < ultimo aggiornamento > (gennaio 2020)
In questo modello di relazione di fiducia s, una CA è una terza parte attendibile, considerata attendibile sia dal soggetto (proprietario) del certificato sia dalla parte che fa affidamento sul certificato.
Secondo il rapporto NetCraft del 2015, lo standard di settore per il monitoraggio attivo I certificati Transport Layer Security (TLS), afferma che “Sebbene lecosistema globale sia competitivo, è dominato da una manciata di CA principali: tre autorità di certificazione (Symantec, Sectigo, GoDaddy) rappresentano i tre quarti di tutti i certificati emessi in pubblico- di fronte ai server web. Il primo posto è stato detenuto da Symantec (o VeriSign prima che fosse acquistato da Symantec) sin dallinizio del sondaggio, che attualmente rappresenta poco meno di un terzo di tutti i certificati. Per illustrare leffetto delle diverse metodologie, tra i milioni di siti più trafficati Symantec ha emesso il 44% dei certificati validi e affidabili in uso, molto più della sua quota di mercato complessiva. “
A seguito dei principali problemi relativi alle modalità di rilascio dei certificati gestito, tutti i principali attori hanno gradualmente diffidato dei certificati emessi da Symantec a partire dal 2017.
Certificati temporanei e Single Sign-OnEdit
Questo approccio prevede un server che funge da autorità di certificazione offline allinterno di un unico sistema di accesso. Un server single sign-on emetterà certificati digitali nel sistema client, ma non li memorizzerà mai. Gli utenti possono eseguire programmi, ecc. con il certificato temporaneo. È comune trovare questa varietà di soluzioni con X.509- certificati basati.
A partire da settembre 2020, validità del certificato TLS ridotta a 13 mesi.
Web of trustModifica
Un approccio alternativo al problema dellautenticazione pubblica di ke pubblico y information è lo schema Web-of-trust, che utilizza certificati autofirmati e attestazioni di terze parti di tali certificati. Il termine singolare “rete di fiducia” non implica lesistenza di una singola rete di fiducia, o punto di fiducia comune, ma piuttosto di una qualsiasi serie di “reti di fiducia” potenzialmente disgiunte. Esempi di implementazioni di questo approccio sono PGP (Pretty Good Privacy) e GnuPG (unimplementazione di OpenPGP, la specifica standardizzata di PGP). Poiché PGP e le implementazioni consentono luso di firme digitali di posta elettronica per lauto-pubblicazione di informazioni sulla chiave pubblica, è relativamente facile implementare la propria rete di fiducia.
Uno dei vantaggi del Web di fiducia, come in PGP, è che può interagire con una CA PKI completamente attendibile da tutte le parti in un dominio (come una CA interna in unazienda) che è disposta a garantire i certificati, come un introduttore affidabile. Se il ” web of trust “è completamente attendibile quindi, a causa della natura di una rete di fiducia, fidarsi di un certificato significa garantire fiducia a tutti i certificati in quel Web. Una PKI è preziosa solo quanto gli standard e le pratiche che controllano lemissione di certificati e includere PGP o una rete di fiducia istituita personalmente potrebbe degradare in modo significativo laffidabilità dellimplementazione di PKI di quellazienda o dominio.
Il concetto di rete di fiducia è stato presentato per la prima volta dal creatore di PGP Phil Zimmermann in 1992 nel manuale per PGP versione 2.0:
Con il passare del tempo, accumulerai chiavi da altre persone che potresti voler designare come introduttori fidati. Tutti gli altri sceglieranno ciascuno il proprio fidato introduttore. E tutti gradualmente accumuleranno e distribuiranno con la loro chiave una raccolta di firme di certificazione di altre persone, con laspettativa che chiunque la riceverà si fiderà di almeno una o due firme.Ciò provocherà lemergere di una rete di fiducia decentralizzata e tollerante agli errori per tutte le chiavi pubbliche.
Infrastruttura a chiave pubblica semplice Modifica
Unaltra Lalternativa, che non si occupa dellautenticazione pubblica delle informazioni a chiave pubblica, è la semplice infrastruttura a chiave pubblica (SPKI) che è nata da tre sforzi indipendenti per superare le complessità di X.509 e della rete di fiducia di PGP. SPKI non associa utenti con persone, poiché la chiave è ciò che è attendibile, piuttosto che la persona. SPKI non utilizza alcuna nozione di fiducia, poiché il verificatore è anche lemittente. Questo è chiamato “ciclo di autorizzazione” nella terminologia SPKI, dove lautorizzazione è parte integrante al suo design. Questo tipo di PKI è particolarmente utile per realizzare integrazioni di PKI che non si affidano a terze parti per lautorizzazione del certificato, le informazioni sui certificati, ecc.; Un buon esempio di ciò è una rete con air gap in un ufficio.
PKIEdit decentralizzato
IDen decentralizzato tifiers (DID) elimina la dipendenza da registri centralizzati per gli identificatori e dalle autorità di certificazione centralizzate per la gestione delle chiavi, che è lo standard nella PKI gerarchica. Nei casi in cui il registro DID è un libro mastro distribuito, ogni entità può fungere da propria autorità principale. Questa architettura viene definita PKI decentralizzata (DPKI).
PKIEdit basata su blockchain
Un approccio emergente per PKI consiste nellutilizzare la tecnologia blockchain comunemente associata alla moderna criptovaluta. Poiché la tecnologia blockchain mira a fornire un registro delle informazioni distribuito e inalterabile, ha qualità considerate altamente adatte per larchiviazione e la gestione delle chiavi pubbliche. Alcune criptovalute supportano larchiviazione di diversi tipi di chiavi pubbliche (SSH, GPG, RFC 2230, ecc.) E forniscono software open source che supporta direttamente PKI per i server OpenSSH. Mentre la tecnologia blockchain può approssimare la prova del lavoro spesso sostenendo la fiducia nella fiducia che le parti che fanno affidamento hanno in una PKI, rimangono questioni come la conformità amministrativa alla politica, la sicurezza operativa e la qualità dellimplementazione del software. Il paradigma di unautorità di certificazione presenta questi problemi indipendentemente dai metodi e algoritmi crittografici sottostanti utilizzati e PKI che cerca di dotare i certificati di proprietà affidabili deve risolvere anche questi problemi.
Ecco un elenco di PKI basati su blockchain noti :
- CertCoin
- FlyClient
- BlockQuick