In grote lijnen zijn er traditioneel drie benaderingen om dit vertrouwen te krijgen: certificaatautoriteiten (CAs), web of trust (WoT) en eenvoudige openbare-sleutelinfrastructuur (SPKI). / p>
CertificaatautoriteitenBewerken
De primaire rol van de CA is het digitaal ondertekenen en publiceren van de openbare sleutel die aan een bepaalde gebruiker is gekoppeld. Dit wordt gedaan met behulp van de eigen privésleutel van de CA, zodat vertrouwen in de gebruikerssleutel afhangt van het vertrouwen in de geldigheid van de CA-sleutel. Wanneer de CA een derde partij is die losstaat van de gebruiker en het systeem, dan wordt het de Registratieautoriteit (RA) genoemd, die al dan niet los staat van de CA. De sleutel-tot-gebruiker-binding wordt tot stand gebracht, afhankelijk van het niveau van zekerheid dat de binding heeft, door software of onder menselijk toezicht. / p>
De term vertrouwde derde partij (TTP) kan ook worden gebruikt voor certificeringsinstantie (CA). Bovendien wordt PKI zelf vaak gebruikt als synoniem voor een CA-implementatie.
Marktaandeel uitgever
Laatste update : < laatst bijgewerkt > (januari 2020)
In dit model van vertrouwensrelatie s is een CA een vertrouwde derde partij – vertrouwd door zowel de persoon (eigenaar) van het certificaat als door de partij die op het certificaat vertrouwt.
Volgens het NetCraft-rapport uit 2015 is de industriestandaard voor het monitoren van actieve Transport Layer Security (TLS) -certificaten stelt: “Hoewel het wereldwijde ecosysteem concurrerend is, wordt het gedomineerd door een handvol grote CAs – drie certificaatautoriteiten (Symantec, Sectigo, GoDaddy) zijn goed voor driekwart van alle uitgegeven certificaten op openbare tegenover webservers. De eerste plaats is in handen van Symantec (of VeriSign voordat het door Symantec werd gekocht) sinds het begin van de enquête, en vertegenwoordigt momenteel iets minder dan een derde van alle certificaten. Om het effect van verschillende methodologieën te illustreren: van de miljoen drukste sites heeft Symantec 44% van de geldige, vertrouwde certificaten die in gebruik zijn, uitgegeven – aanzienlijk meer dan het totale marktaandeel. “
Na belangrijke problemen in de manier waarop certificaten werden uitgegeven beheerd, wantrouwden alle grote spelers geleidelijk de door Symantec uitgegeven certificaten vanaf 2017.
Tijdelijke certificaten en single sign-onEdit
Bij deze benadering is een server betrokken die als offline certificeringsinstantie binnen één aanmeldingssysteem. Een server voor eenmalige aanmelding geeft digitale certificaten uit aan het clientsysteem, maar slaat ze nooit op. Gebruikers kunnen programmas uitvoeren, enz. met het tijdelijke certificaat. Het is gebruikelijk om deze oplossingsvariant te vinden met X.509- gebaseerde certificaten.
Vanaf september 2020 is de geldigheid van het TLS-certificaat teruggebracht tot 13 maanden.
Web of trustEdit
Een alternatieve benadering van het probleem van openbare authenticatie van openbare ke y-informatie is het web-of-trust-schema, dat zelfondertekende certificaten en verklaringen van derden van die certificaten gebruikt. De enkelvoudige term “web van vertrouwen” impliceert niet het bestaan van een enkel web van vertrouwen, of een gemeenschappelijk vertrouwenspunt, maar eerder een van een willekeurig aantal potentieel onsamenhangende “webs van vertrouwen”. Voorbeelden van implementaties van deze aanpak zijn PGP (Pretty Good Privacy) en GnuPG (een implementatie van OpenPGP, de gestandaardiseerde specificatie van PGP). Omdat PGP en implementaties het gebruik van digitale handtekeningen via e-mail mogelijk maken voor zelfpublicatie van openbare sleutelinformatie, is het relatief eenvoudig om een eigen vertrouwensweb te implementeren.
Een van de voordelen van internet van vertrouwen, zoals in PGP, is dat het kan samenwerken met een PKI CA die volledig wordt vertrouwd door alle partijen in een domein (zoals een interne CA in een bedrijf) dat bereid is certificaten te garanderen, als een vertrouwde introducer. web of trust is dan volledig vertrouwd, vanwege de aard van een web van vertrouwen, is het vertrouwen van één certificaat het vertrouwen verlenen aan alle certificaten in dat web. Een PKI is slechts zo waardevol als de standaarden en praktijken die de uitgifte van certificaten controleren en het opnemen van PGP of een persoonlijk ingesteld web van vertrouwen zou de betrouwbaarheid van de implementatie van PKI door die onderneming of domein aanzienlijk kunnen aantasten.
Het concept van het web van vertrouwen werd voor het eerst naar voren gebracht door PGP-maker Phil Zimmermann in 1992 in de handleiding voor PGP versie 2.0:
Naarmate de tijd verstrijkt, verzamel je sleutels van andere mensen die je misschien wilt aanwijzen als vertrouwde introducers. Alle anderen zullen elk hun eigen vertrouwde introducers kiezen. En iedereen zal geleidelijk een verzameling certificerende handtekeningen van andere mensen verzamelen en met zijn sleutel verspreiden, in de verwachting dat iedereen die deze ontvangt, ten minste een of twee van de handtekeningen zal vertrouwen.Dit zal de opkomst veroorzaken van een gedecentraliseerd fouttolerant web van vertrouwen voor alle openbare sleutels.
Eenvoudige openbare-sleutelinfrastructuur Bewerken
Nog een alternatief, dat geen betrekking heeft op openbare authenticatie van openbare-sleutelinformatie, is de eenvoudige openbare-sleutelinfrastructuur (SPKI) die is ontstaan uit drie onafhankelijke inspanningen om de complexiteit van het vertrouwensweb van X.509 en PGP te overwinnen. SPKI associeert niet gebruikers met personen, aangezien de sleutel is wat wordt vertrouwd, in plaats van de persoon. SPKI gebruikt geen enkele notie van vertrouwen, aangezien de verificateur ook de uitgever is. Dit wordt een “autorisatielus” genoemd in SPKI-terminologie, waarbij autorisatie integraal is Dit type PKI is vooral handig voor het maken van integraties van PKI die niet afhankelijk zijn van derden voor certificaatautorisatie, certificaatinformatie, enz.; Een goed voorbeeld hiervan is een Air-gapped netwerk in een kantoor.
Gedecentraliseerde PKIEdit
Gedecentraliseerde iden tifiers (DIDs) elimineren de afhankelijkheid van gecentraliseerde registers voor identifiers en gecentraliseerde certificeringsinstanties voor sleutelbeheer, wat de standaard is in hiërarchische PKI. In gevallen waarin het DID-register een gedistribueerd grootboek is, kan elke entiteit als zijn eigen root-autoriteit dienen. Deze architectuur wordt gedecentraliseerde PKI (DPKI) genoemd.
Op blockchain gebaseerde PKIEdit
Een opkomende benadering voor PKI is het gebruik van de blockchain-technologie die gewoonlijk wordt geassocieerd met moderne cryptocurrency. Omdat blockchain-technologie bedoeld is om een gedistribueerd en onveranderlijk grootboek van informatie te bieden, beschikt het over eigenschappen die als zeer geschikt worden beschouwd voor de opslag en het beheer van openbare sleutels. Sommige cryptocurrencies ondersteunen de opslag van verschillende typen openbare sleutels (SSH, GPG, RFC 2230, enz.) En bieden open source-software die PKI rechtstreeks ondersteunt voor OpenSSH-servers. Hoewel blockchain-technologie het bewijs van werk kan benaderen, wat vaak het vertrouwen ondersteunt dat vertrouwende partijen hebben in een PKI, blijven er kwesties zoals administratieve conformiteit met beleid, operationele veiligheid en de kwaliteit van software-implementatie. Een paradigma van een certificeringsinstantie heeft deze problemen, ongeacht de onderliggende cryptografische methoden en algoritmen die worden gebruikt, en PKI die certificaten tracht te voorzien van betrouwbare eigenschappen, moet deze problemen ook aanpakken.
Hier is een lijst met bekende op blockchain gebaseerde PKI :
- CertCoin
- FlyClient
- BlockQuick