Ogólnie rzecz biorąc, tradycyjnie istniały trzy podejścia do uzyskania tego zaufania: urzędy certyfikacji (CA), sieć zaufania (WoT) i prosta infrastruktura klucza publicznego (SPKI).
Urzędy certyfikacjiEdytuj
Podstawową rolą urzędu certyfikacji jest cyfrowe podpisywanie i publikowanie klucza publicznego przypisanego do danego użytkownika. Odbywa się to za pomocą własnego klucza prywatnego urzędu certyfikacji, więc zaufanie do klucza użytkownika zależy od zaufania co do ważności klucza urzędu certyfikacji. Gdy urząd certyfikacji jest stroną trzecią niezależną od użytkownika i systemu, wtedy nazywa się to organem rejestracyjnym (RA), który może, ale nie musi, być oddzielony od CA. Powiązanie klucza z użytkownikiem jest ustanawiane, w zależności od poziomu pewności, jakie ma powiązanie, za pomocą oprogramowania lub pod nadzorem człowieka.
Termin zaufana strona trzecia (TTP) może być również używany w odniesieniu do urzędu certyfikacji (CA). Ponadto PKI jest często używany jako synonim implementacji CA.
Udział w rynku emitentaEdytuj
Ostatnia aktualizacja : < ostatnia aktualizacja > (styczeń 2020 r.)
W tym modelu relacji zaufania s, CA jest zaufaną stroną trzecią – zaufaną zarówno przez podmiot (właściciela) certyfikatu, jak i przez stronę polegającą na certyfikacie.
Według raportu NetCraft z 2015 roku, branżowy standard monitorowania Certyfikaty Transport Layer Security (TLS) stwierdzają, że „Chociaż globalny ekosystem jest konkurencyjny, jest zdominowany przez kilka głównych urzędów certyfikacji – trzy urzędy certyfikacji (Symantec, Sectigo, GoDaddy) odpowiadają za trzy czwarte wszystkich wystawionych certyfikatów w obliczu serwerów internetowych. Pierwsze miejsce zajmował Symantec (lub VeriSign, zanim został zakupiony przez Symantec) od samego początku ankiety, a obecnie stanowi prawie jedną trzecią wszystkich certyfikatów. Aby zilustrować wpływ różnych metodologii, pośród miliona najbardziej obciążonych witryn firma Symantec wydała 44% ważnych, zaufanych certyfikatów w użyciu – znacznie więcej niż jej całkowity udział w rynku. ”
Po poważnych problemach ze sposobem wydawania certyfikatów zarządzane, wszyscy główni gracze stopniowo tracili zaufanie do wydawanych przez firmę Symantec certyfikatów, począwszy od 2017 r.
Certyfikaty tymczasowe i jednokrotne logowanieEdytuj
W tym podejściu serwer pełniący rolę urzędu certyfikacji offline w ramach jednego system logowania. Serwer jednokrotnego logowania wystawia certyfikaty cyfrowe w systemie klienta, ale nigdy ich nie przechowuje. Użytkownicy mogą uruchamiać programy itp. z tymczasowym certyfikatem. To rozwiązanie jest często spotykane w przypadku X.509- oparte na certyfikatach.
Począwszy od września 2020 r. ważność certyfikatu TLS została zmniejszona do 13 miesięcy.
Sieć zaufaniaEdit
Alternatywne podejście do problemu publicznego uwierzytelniania klucza publicznego y to schemat sieci zaufania, który używa certyfikatów z podpisem własnym i poświadczeń tych certyfikatów przez strony trzecie. Pojedynczy termin „sieć zaufania” nie oznacza istnienia pojedynczej sieci zaufania lub wspólnego punktu zaufania, ale raczej jedną z wielu potencjalnie rozłącznych „sieci zaufania”. Przykładami implementacji tego podejścia są PGP (Pretty Good Privacy) i GnuPG (implementacja OpenPGP, znormalizowana specyfikacja PGP). Ponieważ PGP i jego implementacje pozwalają na użycie podpisów cyfrowych e-maili do samodzielnej publikacji informacji klucza publicznego, stosunkowo łatwo jest wdrożyć własną sieć zaufania.
Jedna z zalet sieci zaufania, na przykład w PGP, polega na tym, że może współpracować z ośrodkiem certyfikacji PKI, któremu w pełni ufają wszystkie strony w domenie (na przykład wewnętrzny ośrodek certyfikacji w firmie), który jest skłonny gwarantować certyfikaty jako zaufany podmiot wprowadzający. Jeśli „ sieć zaufania ”jest wtedy całkowicie zaufana, ponieważ ze względu na naturę sieci zaufania, zaufanie jednemu certyfikatowi oznacza udzielenie zaufania wszystkim certyfikatom w tej sieci. PKI jest tak cenny, jak standardy i praktyki kontrolujące wydawanie certyfikatów a włączenie PGP lub osobiście utworzonej sieci zaufania mogłoby znacząco obniżyć wiarygodność implementacji PKI w przedsiębiorstwie lub domenie.
Koncepcja sieci zaufania została po raz pierwszy przedstawiona przez twórcę PGP Phila Zimmermanna w 1992 w podręczniku PGP w wersji 2.0:
W miarę upływu czasu będziesz gromadzić klucze od innych osób, które możesz wyznaczyć jako zaufanych wprowadzających. Każdy inny wybierze swoich zaufanych prezenterów. I wszyscy będą stopniowo gromadzić i rozpowszechniać wraz ze swoim kluczem kolekcję poświadczających podpisów od innych osób, oczekując, że każdy, kto go otrzyma, zaufa co najmniej jednemu lub dwóm podpisom.Spowoduje to pojawienie się zdecentralizowanej, odpornej na błędy sieci zaufania dla wszystkich kluczy publicznych.
Prosta infrastruktura kluczy publicznychEdytuj
Kolejny alternatywą, która nie dotyczy publicznego uwierzytelniania informacji klucza publicznego, jest prosta infrastruktura klucza publicznego (SPKI), która wyrosła z trzech niezależnych prób przezwyciężenia złożoności X.509 i sieci zaufania PGP. SPKI nie kojarzy użytkowników z osobami, ponieważ klucz jest tym, co jest zaufane, a nie osoba. SPKI nie używa pojęcia zaufania, ponieważ weryfikator jest również wydawcą. Nazywa się to „pętlą autoryzacji” w terminologii SPKI, gdzie autoryzacja jest integralna do projektu. Ten typ PKI jest szczególnie przydatny do wykonywania integracji PKI, które nie polegają na osobach trzecich w zakresie autoryzacji certyfikatów, informacji o certyfikatach itp .; Dobrym tego przykładem jest sieć z przerwą powietrzną w biurze.
Zdecentralizowany PKIEdit
Zdecentralizowany iden tifiers (DID) eliminuje zależność od scentralizowanych rejestrów dla identyfikatorów, a także scentralizowanych urzędów certyfikacji do zarządzania kluczami, co jest standardem w hierarchicznej PKI. W przypadkach, gdy rejestr DID jest księgą rozproszoną, każda jednostka może służyć jako własny urząd główny. Architektura ta jest nazywana zdecentralizowaną PKI (DPKI).
PKIEdit oparty na Blockchain
Wyłaniającym się podejściem do PKI jest wykorzystanie technologii blockchain powszechnie kojarzonej z nowoczesną kryptowalutą. Ponieważ technologia blockchain ma na celu zapewnienie rozproszonej i niezmiennej księgi informacji, ma cechy uważane za wysoce odpowiednie do przechowywania i zarządzania kluczami publicznymi. Niektóre kryptowaluty obsługują przechowywanie różnych typów kluczy publicznych (SSH, GPG, RFC 2230 itp.) I zapewniają oprogramowanie typu open source, które bezpośrednio obsługuje PKI dla serwerów OpenSSH. Chociaż technologia blockchain może przybliżyć dowód pracy, który często stanowi podstawę zaufania, jakie strony ufające pokładają w PKI, pozostają kwestie, takie jak zgodność administracyjna z polityką, bezpieczeństwo operacyjne i jakość wdrożenia oprogramowania. W paradygmacie urzędu certyfikacji występują te problemy niezależnie od zastosowanych metod i algorytmów kryptograficznych, a klucz PKI, który stara się nadać certyfikatom godne zaufania właściwości, również musi rozwiązać te problemy.
Oto lista znanych PKI opartych na łańcuchu bloków :
- CertCoin
- FlyClient
- BlockQuick