大まかに言えば、この信頼を取得するには、従来、認証局(CA)、Web of Trust(WoT)、および単純公開鍵インフラストラクチャ(SPKI)の3つのアプローチがありました。
認証局編集
CAの主な役割は、特定のユーザーにバインドされた公開鍵にデジタル署名して公開することです。これはCA自身の秘密鍵を使用して行われるため、ユーザー鍵への信頼はCAの鍵の有効性への信頼に依存します。CAがユーザーおよびシステムとは別のサードパーティである場合、次に、登録局(RA)と呼ばれ、CAから分離されている場合と分離されていない場合があります。キーとユーザーのバインディングは、バインディングの保証レベルに応じて、ソフトウェアまたは人間の監督下で確立されます。
信頼できるサードパーティ(TTP)という用語は、認証局(CA)にも使用できます。さらに、PKI自体がCA実装の同義語としてよく使用されます。
発行者の市場シェア編集
最終更新:<最終更新>(2020年1月)
この信頼関係モデルs、CAは信頼できるサードパーティであり、証明書のサブジェクト(所有者)と証明書に依存するパーティの両方から信頼されています。
2015年のNetCraftレポートによると、アクティブな監視の業界標準Transport Layer Security(TLS)証明書は、「グローバルエコシステムは競争力がありますが、少数の主要なCAによって支配されています。3つの認証局(Symantec、Sectigo、GoDaddy)が、公開されているすべての証明書の4分の3を占めています。 Webサーバーに面しています。調査が開始されて以来、Symantec(またはSymantecが購入する前のVeriSign)がトップの座を維持しており、現在、すべての証明書の3分の1弱を占めています。さまざまな方法の影響を説明するために、最も忙しい100万のサイトの中で、Symantecは使用中の有効で信頼できる証明書の44%を発行しました。これは、全体的な市場シェアを大幅に上回っています。」
証明書の発行方法に関する主要な問題に続いて管理され、すべての主要なプレーヤーは、2017年からSymantecが発行した証明書を徐々に信用しなくなりました。
一時的な証明書とシングルサインオン編集
このアプローチには、単一の内部でオフライン認証局として機能するサーバーが含まれます。サインオンシステム。シングルサインオンサーバーはクライアントシステムにデジタル証明書を発行しますが、保存することはありません。ユーザーは一時証明書を使用してプログラムなどを実行できます。このソリューションの種類はX.509-で一般的です。ベースの証明書。
2020年9月以降、TLS証明書の有効期間は13か月に短縮されました。
Web of trustEdit
公開鍵の公開認証の問題に対する代替アプローチy情報は、自己署名証明書とそれらの証明書のサードパーティの証明を使用するWeb-of-Trustスキームです。 「信頼の網」という単数形の用語は、単一の信頼の網、または共通の信頼のポイントの存在を意味するのではなく、潜在的にばらばらな「信頼の網」の1つを意味します。このアプローチの実装例は、PGP(Pretty Good Privacy)およびGnuPG(OpenPGPの実装、PGPの標準仕様)です。 PGPと実装では、公開鍵情報の自己公開に電子メールのデジタル署名を使用できるため、独自の信頼のWebを実装するのは比較的簡単です。
Webの利点の1つPGPなどの信頼性は、信頼できる紹介者として、証明書を保証することをいとわないドメイン内のすべての関係者(企業の内部CAなど)によって完全に信頼されているPKICAと相互運用できることです。 「信頼のウェブ」は完全に信頼されます。信頼のウェブの性質上、1つの証明書を信頼することは、そのWeb内のすべての証明書に信頼を与えることです。PKIは、証明書の発行を制御する標準と慣行と同じくらい価値があります。また、PGPまたは個人的に設立された信頼のウェブを含めると、その企業またはドメインのPKIの実装の信頼性が大幅に低下する可能性があります。
信頼のウェブの概念は、PGP作成者のPhilZimmermannによって最初に発表されました。 PGPバージョン2.0のマニュアルの1992年:
時間が経つにつれて、信頼できる紹介者として指定したい他の人からのキーが蓄積されます。他の誰もがそれぞれ自分の信頼できる紹介者を選びます。そして、誰もが徐々に蓄積し、他の人からの証明署名のコレクションを自分のキーで配布します。それを受け取る人は、少なくとも1つまたは2つの署名を信頼することを期待しています。これにより、すべての公開鍵に対して分散型の障害耐性のある信頼のウェブが出現します。
簡易公開鍵インフラストラクチャ編集
別の公開鍵情報の公開認証を処理しない代替案は、X.509とPGPの信頼のウェブの複雑さを克服するための3つの独立した取り組みから生まれた単純な公開鍵インフラストラクチャ(SPKI)です。SPKIは関連付けませんキーは人ではなく信頼できるものであるため、人を持つユーザー。検証者は発行者でもあるため、SPKIは信頼の概念を使用しません。これはSPKI用語では「認証ループ」と呼ばれ、認証は不可欠です。このタイプのPKIは、証明書の承認や証明書情報などをサードパーティに依存しないPKIの統合を行う場合に特に役立ちます。この良い例は、オフィスのエアギャップネットワークです。
分散型PKIEdit
分散型ID tifiers(DID)は、識別子の集中型レジストリと、階層型PKIの標準であるキー管理の集中型認証局への依存を排除します。 DIDレジストリが分散型台帳である場合、各エンティティは独自のルート権限として機能できます。このアーキテクチャは、分散型PKI(DPKI)と呼ばれます。
ブロックチェーンベースのPKIEdit
PKIの新しいアプローチは、最新の暗号通貨に一般的に関連付けられているブロックチェーンテクノロジーを使用することです。ブロックチェーンテクノロジーは、情報の分散された変更不可能な台帳を提供することを目的としているため、公開鍵の保存と管理に非常に適していると考えられる品質を備えています。一部の暗号通貨は、さまざまな公開鍵タイプ(SSH、GPG、RFC 2230など)のストレージをサポートし、OpenSSHサーバーのPKIを直接サポートするオープンソースソフトウェアを提供します。ブロックチェーンテクノロジーは、信頼関係者がPKIに抱く信頼の信頼を裏付ける作業の証拠に近づけることができますが、ポリシーへの管理上の準拠、運用セキュリティ、ソフトウェア実装の品質などの問題が残っています。認証局のパラダイムには、採用されている暗号化の方法やアルゴリズムに関係なくこれらの問題があり、信頼できるプロパティを証明書に付与しようとするPKIもこれらの問題に対処する必要があります。
既知のブロックチェーンベースのPKIのリストを次に示します。 :
- CertCoin
- FlyClient
- BlockQuick