Generelt sett har det tradisjonelt vært tre tilnærminger for å få denne tilliten: sertifikatmyndigheter (CAer), web of trust (WoT) og enkel offentlig nøkkelinfrastruktur (SPKI).
Sertifikatmyndigheter Rediger
CAs primære rolle er å signere og publisere den offentlige nøkkelen som er bundet til en gitt bruker digitalt. Dette gjøres ved hjelp av CAs egen private nøkkel, slik at tillit til brukernøkkelen er avhengig av tilliten til gyldigheten til CAs nøkkel. Når CA er en tredjepart atskilt fra brukeren og systemet, så kalles det Registration Authority (RA), som kan eller ikke kan være atskilt fra CA. Nøkkel-til-bruker-binding er etablert, avhengig av sikkerhetsnivået bindingen har, av programvare eller under menneskelig tilsyn.
Begrepet klarert tredjepart (TTP) kan også brukes om sertifikatmyndighet (CA). Dessuten brukes PKI ofte som et synonym for en CA-implementering.
Utsteders markedsandel Rediger
Siste oppdatering : < sist oppdatert > (januar 2020)
I denne modellen av tillitsforhold s, er en CA en pålitelig tredjepart – klarert både av emnet (eieren) av sertifikatet og av den parten som stoler på sertifikatet.
I følge NetCraft-rapporten fra 2015 er bransjestandarden for aktiv overvåking Transport Layer Security (TLS) sertifikater, sier at «Selv om det globale økosystemet er konkurransedyktig, domineres det av en håndfull store CAer – tre sertifikatmyndigheter (Symantec, Sectigo, GoDaddy) står for tre fjerdedeler av alle utstedte sertifikater på offentlig- overfor webservere. Topplasseringen har vært i Symantec (eller VeriSign før den ble kjøpt av Symantec) helt siden undersøkelsen startet, og den utgjør for øyeblikket i underkant av en tredjedel av alle sertifikatene. For å illustrere effekten av ulike metoder, blant de million travleste nettstedene, utstedte Symantec 44% av de gyldige, pålitelige sertifikatene i bruk – betydelig mer enn den totale markedsandelen. «
Etter store problemer i hvordan sertifikatutstedelse var administrert, mistro alle store aktører gradvis Symantec utstedte sertifikater fra og med 2017.
Midlertidige sertifikater og single sign-onEdit
Denne tilnærmingen involverer en server som fungerer som en offline sertifiseringsmyndighet i en enkelt påloggingssystem. En enkelt påloggingsserver vil utstede digitale sertifikater i klientsystemet, men lagrer dem aldri. Brukere kan utføre programmer osv. med det midlertidige sertifikatet. Det er vanlig å finne denne løsningsvarianten med X.509- baserte sertifikater.
Fra og med september 2020 redusert TLS-sertifikatets gyldighet til 13 måneder.
Web of trustEdit
En alternativ tilnærming til problemet med offentlig autentisering av offentlig ke y-informasjonen er web-of-trust-ordningen, som bruker selvsignerte sertifikater og tredjepartsattestasjoner av disse sertifikatene. Den entydige betegnelsen «web of trust» innebærer ikke at det eksisterer et eneste nett av tillit, eller et felles tillitspunkt, men snarere et av et hvilket som helst antall potensielt usammenhengende «nett av tillit». Eksempler på implementeringer av denne tilnærmingen er PGP (Pretty Good Privacy) og GnuPG (en implementering av OpenPGP, den standardiserte spesifikasjonen av PGP). Fordi PGP og implementeringer tillater bruk av digitale signaturer på e-post for egenpublisering av offentlig nøkkelinformasjon, er det relativt enkelt å implementere sitt eget tillitsnett.
En av fordelene med nettet av tillit, som for eksempel i PGP, er at den kan samarbeide med en PKI CA fullstendig klarert av alle parter i et domene (for eksempel en intern CA i et selskap) som er villig til å garantere sertifikater, som en klarert introdusent. Hvis » web of trust «er helt klarert da, på grunn av naturen til et tillitsnett, er tillit til ett sertifikat å gi tillit til alle sertifikatene på det nettet. En PKI er bare like verdifull som standardene og praksis som styrer utstedelse av sertifikater og å inkludere PGP eller et personlig innstiftet nett av tillit kan betydelig forringe troverdigheten til den virksomhetens eller domenets implementering av PKI.
Web of trust-konseptet ble først lagt fram av PGP-skaperen Phil Zimmermann i 1992 i manualen for PGP versjon 2.0:
Etter hvert som tiden går, vil du samle nøkler fra andre mennesker som du kanskje vil betegne som pålitelige innledere. Alle andre velger hver sine pålitelige introdusenter. Og alle vil gradvis samle og distribuere med sin nøkkel en samling sertifiserende signaturer fra andre mennesker, med forventning om at alle som mottar den vil stole på minst en eller to av signaturene.Dette vil føre til fremveksten av et desentralisert feiltolerant nett av tillit for alle offentlige nøkler.
Enkel infrastruktur for offentlig nøkkel Rediger
En annen alternativ, som ikke omhandler offentlig autentisering av offentlig nøkkelinformasjon, er den enkle offentlige nøkkelinfrastrukturen (SPKI) som vokste ut av tre uavhengige anstrengelser for å overvinne kompleksiteten i X.509 og PGPs nett av tillit. SPKI forbinder ikke brukere med personer, siden nøkkelen er det som er klarert, snarere enn personen. SPKI bruker ikke noen forestilling om tillit, da verifisereren også er utsteder. Dette kalles en «autorisasjonssløyfe» i SPKI-terminologi, der autorisasjon er integrert til sin utforming. Denne typen PKI er spesielt nyttig for å gjøre integrasjoner av PKI som ikke er avhengige av tredjeparter for sertifikatgodkjenning, sertifikatinformasjon osv .; Et godt eksempel på dette er et luftgappet nettverk på et kontor.
Desentralisert PKIEdit
Desentralisert iden tifiers (DIDs) eliminerer avhengighet av sentraliserte registre for identifikatorer, samt sentraliserte sertifikatmyndigheter for nøkkeladministrasjon, som er standarden i hierarkisk PKI. I tilfeller der DID-registeret er en distribuert hovedbok, kan hver enhet fungere som sin egen rotmyndighet. Denne arkitekturen blir referert til som desentralisert PKI (DPKI).
Blockchain-basert PKIEdit
En framvoksende tilnærming for PKI er å bruke blockchain-teknologien som ofte er assosiert med moderne kryptovaluta. Siden blockchain-teknologi tar sikte på å gi en distribuert og uforanderlig hovedbok med informasjon, har den kvaliteter som er svært egnet for lagring og håndtering av offentlige nøkler. Noen kryptovalutaer støtter lagring av forskjellige offentlige nøkkeltyper (SSH, GPG, RFC 2230, etc.) og tilbyr programvare med åpen kildekode som direkte støtter PKI for OpenSSH-servere. Mens blockchain-teknologien kan tilnærme beviset på arbeid som ofte underbygger tilliten til tillit som pålitelige parter har til en PKI, er det fortsatt problemer som administrativ samsvar med politikk, operativ sikkerhet og programvareimplementeringskvalitet. Et sertifikatmyndighetsparadigme har disse problemene uavhengig av de underliggende kryptografiske metodene og algoritmene som brukes, og PKI som søker å gi sertifikater med pålitelige egenskaper, må også løse disse problemene.
Her er en liste over kjente blockchain-baserte PKI :
- CertCoin
- FlyClient
- BlockQuick