일반적으로 이러한 신뢰를 얻는 데에는 전통적으로 인증 기관 (CA), 신뢰 웹 (WoT) 및 단순 공개 키 인프라 (SPKI)의 세 가지 접근 방식이있었습니다.
인증 기관 편집
CA의 기본 역할은 지정된 사용자에게 바인딩 된 공개 키를 디지털 서명하고 게시하는 것입니다. 이는 CA의 자체 개인 키를 사용하여 수행되므로 사용자 키에 대한 신뢰는 CA 키의 유효성에 대한 신뢰에 의존합니다. CA가 사용자 및 시스템과 분리 된 제 3자인 경우, CA와 분리되어있을 수도 있고 아닐 수도있는 등록 기관 (RA)이라고합니다. 키-사용자 바인딩은 바인딩의 보증 수준에 따라 소프트웨어 또는 사람의 감독하에 설정됩니다.
TTP (신뢰할 수있는 제 3 자)라는 용어는 인증 기관 (CA)에도 사용될 수 있습니다. 또한 PKI 자체는 CA 구현의 동의어로 자주 사용됩니다.
발행자 시장 점유율
마지막 업데이트 : < 최종 업데이트 > (2020 년 1 월)
이 신뢰 관계 모델에서 s, CA는 신뢰할 수있는 제 3 자이며 인증서의 주체 (소유자)와 인증서에 의존하는 당사자 모두에 의해 신뢰됩니다.
2015 년 NetCraft 보고서에 따르면 활성 모니터링을위한 업계 표준입니다. TLS (Transport Layer Security) 인증서는 “글로벌 에코 시스템은 경쟁이 치열하지만 소수의 주요 CA가 지배하고 있습니다. 3 개의 인증 기관 (Symantec, Sectigo, GoDaddy)이 공개적으로 발급 된 모든 인증서의 4 분의 3을 차지합니다. 웹 서버에 직면. 설문 조사가 시작된 이래로 Symantec (또는 Symantec이 구매하기 전에 VeriSign)이 1 위를 차지했으며 현재 전체 인증서의 1/3 미만을 차지하고 있습니다. 서로 다른 방법론의 효과를 설명하기 위해 시만텍은 가장 바쁜 백만 사이트 중에서 유효하고 신뢰할 수있는 인증서의 44 %를 발행했습니다. 이는 전체 시장 점유율보다 훨씬 많은 양입니다. “
인증서 발급 방식에 대한 주요 문제는 다음과 같습니다. 관리되는 모든 주요 업체는 2017 년부터 시만텍에서 발급 한 인증서를 점차적으로 신뢰하지 않았습니다.
임시 인증서 및 단일 사인온 편집
이 접근 방식에는 단일 시스템 내에서 오프라인 인증 기관 역할을하는 서버가 포함됩니다. 사인온 시스템. 단일 사인온 서버는 클라이언트 시스템에 디지털 인증서를 발급하지만 저장하지 않습니다. 사용자는 임시 인증서로 프로그램 등을 실행할 수 있습니다.이 솔루션은 X.509-에서 흔히 볼 수 있습니다.
2020 년 9 월부터 TLS 인증서 유효 기간이 13 개월로 감소했습니다.
Web of trustEdit
공개 키의 공개 인증 문제에 대한 대체 접근 방식 y 정보는 자체 서명 된 인증서와 해당 인증서의 타사 증명을 사용하는 신뢰 웹 체계입니다. 단수 용어 “신뢰 웹”은 단일 신뢰 웹 또는 공통 신뢰 지점의 존재를 의미하는 것이 아니라 잠재적으로 분리 된 “신뢰 웹”중 하나를 의미합니다. 이 접근 방식의 구현 예는 PGP (Pretty Good Privacy) 및 GnuPG (PGP의 표준화 된 사양 인 OpenPGP 구현)입니다. PGP 및 구현에서는 공개 키 정보의 자체 게시를 위해 전자 메일 디지털 서명을 사용할 수 있기 때문에 자신의 신뢰 웹을 구현하는 것이 상대적으로 쉽습니다.
웹의 이점 중 하나 PGP에서와 같이 신뢰의 의미는 신뢰할 수있는 소개 자로서 인증서를 보증하려는 도메인의 모든 당사자 (예 : 회사의 내부 CA)가 완전히 신뢰하는 PKI CA와 상호 운용 할 수 있다는 것입니다. 신뢰할 수있는 웹 “은 완전히 신뢰할 수 있습니다. 신뢰할 수있는 웹의 특성으로 인해 하나의 인증서를 신뢰하면 해당 웹의 모든 인증서에 대한 신뢰가 부여됩니다. PKI는 인증서 발급을 제어하는 표준 및 관행만큼만 가치가 있습니다. PGP 또는 개인적으로 구축 한 신뢰 웹을 포함하면 해당 기업 또는 도메인의 PKI 구현에 대한 신뢰도를 크게 떨어 뜨릴 수 있습니다.
신뢰 웹 개념은 PGP 제작자 인 Phil Zimmermann이 처음으로 1992 년 PGP 버전 2.0 설명서 :
시간이 지남에 따라 신뢰할 수있는 소개 자로 지정할 수있는 다른 사람의 키를 축적하게됩니다. 다른 사람들은 각자 자신의 신뢰할 수있는 소개자를 선택합니다. 그리고 모든 사람은 다른 사람의 인증 서명 모음을 키와 함께 점차적으로 축적하고 배포 할 것이며,이를받는 사람은 누구나 적어도 한두 개의 서명을 신뢰할 것이라고 기대합니다.이로 인해 모든 공개 키에 대한 분산 된 내결함성 신뢰 웹이 등장합니다.
단순 공개 키 인프라 편집
또 다른 공개 키 정보의 공개 인증을 처리하지 않는 대안은 X.509 및 PGP의 신뢰 웹의 복잡성을 극복하기위한 세 가지 독립적 인 노력에서 성장한 단순 공개 키 인프라 (SPKI)입니다. SPKI는 연관되지 않습니다. 키는 사람이 아니라 신뢰할 수있는 것이기 때문에 사람이있는 사용자. 검증자가 발급자이기도하므로 SPKI는 신뢰 개념을 사용하지 않습니다. SPKI 용어에서 “권한 부여 루프”라고하며 인증이 필수입니다. 이러한 유형의 PKI는 인증서 인증, 인증서 정보 등에 대해 제 3 자에 의존하지 않는 PKI를 통합하는 데 특히 유용합니다. 이에 대한 좋은 예는 사무실의 Air-gapped 네트워크입니다.
분산 형 PKIEdit
분산 형 ID TID (tifiers)는 계층 적 PKI의 표준 인 키 관리를위한 중앙 집중식 인증 기관뿐만 아니라 식별자에 대한 중앙 집중식 레지스트리에 대한 의존성을 제거합니다. DID 레지스트리가 분산 원장 인 경우 각 엔터티는 자체 루트 권한 역할을 할 수 있습니다. 이 아키텍처를 DPKI (탈 중앙화 PKI)라고합니다.
블록 체인 기반 PKIEdit
PKI에 대한 새로운 접근 방식은 현대 암호 화폐와 일반적으로 관련된 블록 체인 기술을 사용하는 것입니다. 블록 체인 기술은 분산되고 변경 불가능한 정보 원장을 제공하는 것을 목표로하기 때문에 공개 키의 저장 및 관리에 매우 적합하다고 간주되는 특성을 가지고 있습니다. 일부 암호 화폐는 다양한 공개 키 유형 (SSH, GPG, RFC 2230 등)의 저장소를 지원하고 OpenSSH 서버용 PKI를 직접 지원하는 오픈 소스 소프트웨어를 제공합니다. 블록 체인 기술은 종종 신뢰 당사자가 PKI에 대해 갖는 신뢰에 대한 신뢰를 뒷받침하는 작업 증명에 근접 할 수 있지만, 정책에 대한 관리 준수, 운영 보안 및 소프트웨어 구현 품질과 같은 문제는 여전히 남아 있습니다. 인증 기관 패러다임에는 사용 된 기본 암호화 방법 및 알고리즘에 관계없이 이러한 문제가 있으며 신뢰할 수있는 속성을 인증서에 부여하려는 PKI도 이러한 문제를 해결해야합니다.
알려진 블록 체인 기반 PKI 목록은 다음과 같습니다. :
- CertCoin
- FlyClient
- BlockQuick