Em termos gerais, tradicionalmente existem três abordagens para obter essa confiança: autoridades de certificação (CAs), web de confiança (WoT) e infraestrutura de chave pública simples (SPKI).
Editar autoridades de certificação
A função principal da CA é assinar digitalmente e publicar a chave pública vinculada a um determinado usuário. Isso é feito usando a própria chave privada do CA, de modo que a confiança na chave do usuário depende da confiança na validade da chave do CA. Quando o CA é um terceiro separado do usuário e do sistema, em seguida, é chamada de Autoridade de Registro (RA), que pode ou não ser separada da CA. A vinculação da chave para o usuário é estabelecida, dependendo do nível de garantia da vinculação, por software ou sob supervisão humana.
O termo terceira parte confiável (TTP) também pode ser usado para autoridade de certificação (CA). Além disso, a própria PKI é frequentemente usada como um sinônimo para uma implementação de CA.
Issuer market shareEdit
Última atualização : < última atualização > (janeiro de 2020)
Neste modelo de relação de confiança s, uma CA é um terceiro confiável – confiável tanto pelo assunto (proprietário) do certificado quanto pela parte que confia no certificado.
De acordo com o relatório da NetCraft de 2015, o padrão da indústria para monitoramento ativo Os certificados do Transport Layer Security (TLS), afirmam que “Embora o ecossistema global seja competitivo, ele é dominado por um punhado de CAs principais – três autoridades de certificação (Symantec, Sectigo, GoDaddy) são responsáveis por três quartos de todos os certificados emitidos em público- enfrentando servidores da web. O primeiro lugar é mantido pela Symantec (ou VeriSign antes de ser comprado pela Symantec) desde o início da pesquisa, com ela atualmente respondendo por pouco menos de um terço de todos os certificados. Para ilustrar o efeito das diferentes metodologias, entre os milhões de sites mais ocupados, a Symantec emitiu 44% dos certificados válidos e confiáveis em uso – significativamente mais do que sua participação no mercado geral. “
Seguindo os principais problemas em como era a emissão de certificados gerenciado, todos os principais participantes gradualmente desconfiaram dos certificados emitidos pela Symantec a partir de 2017.
Certificados temporários e single sign-onEdit
Esta abordagem envolve um servidor que atua como uma autoridade de certificação offline dentro de um único sistema de logon. Um servidor de logon único emitirá certificados digitais no sistema do cliente, mas nunca os armazenará. Os usuários podem executar programas, etc. com o certificado temporário. É comum encontrar essa variedade de solução com o X.509- certificados baseados em.
A partir de setembro de 2020, validade do certificado TLS reduzida para 13 meses.
Web of trustEdit
Uma abordagem alternativa para o problema de autenticação pública de ke pública y information é o esquema web-of-trust, que usa certificados autoassinados e atestados de terceiros desses certificados. O termo singular “teia de confiança” não implica a existência de uma única teia de confiança, ou ponto comum de confiança, mas sim uma de qualquer número de “teias de confiança” potencialmente desconexas. Exemplos de implementações dessa abordagem são PGP (Pretty Good Privacy) e GnuPG (uma implementação do OpenPGP, a especificação padronizada do PGP). Como o PGP e as implementações permitem o uso de assinaturas digitais de e-mail para a autopublicação de informações de chave pública, é relativamente fácil implementar sua própria rede de confiança.
Um dos benefícios da web de confiança, como no PGP, é que ele pode interoperar com uma CA PKI totalmente confiável por todas as partes em um domínio (como uma CA interna em uma empresa) que está disposta a garantir certificados, como um introdutor confiável. web of trust “é totalmente confiável, devido à natureza de uma rede de confiança, confiar em um certificado é conferir confiança a todos os certificados dessa web. Uma PKI é tão valiosa quanto os padrões e práticas que controlam a emissão de certificados e incluir PGP ou uma rede de confiança instituída pessoalmente pode degradar significativamente a confiabilidade da implementação de PKI dessa empresa ou domínio.
O conceito de rede de confiança foi apresentado pela primeira vez pelo criador do PGP Phil Zimmermann em 1992 no manual para PGP versão 2.0:
Com o passar do tempo, você acumulará as chaves de outras pessoas que pode querer designar como apresentadores confiáveis. Todos os outros escolherão seus próprios apresentadores confiáveis. E todos irão gradualmente acumulando e distribuindo com suas chaves uma coleção de assinaturas de certificação de outras pessoas, com a expectativa de que qualquer pessoa que receba confie em pelo menos uma ou duas das assinaturas.Isso causará o surgimento de uma rede de confiança descentralizada e tolerante a falhas para todas as chaves públicas.
Edição de infraestrutura de chave pública simples
Outro alternativa, que não lida com autenticação pública de informações de chave pública, é a infraestrutura de chave pública simples (SPKI) que cresceu a partir de três esforços independentes para superar as complexidades de X.509 e da rede de confiança de PGP. SPKI não associa usuários com pessoas, já que a chave é o que é confiável, e não a pessoa. O SPKI não usa nenhuma noção de confiança, já que o verificador também é o emissor. Isso é chamado de “loop de autorização” na terminologia SPKI, onde a autorização é integral ao seu design. Este tipo de PKI é especialmente útil para fazer integrações de PKI que não dependem de terceiros para autorização de certificado, informações de certificado, etc.; Um bom exemplo disso é uma rede sem ar em um escritório.
PKIEdit descentralizado
Iden descentralizado tifiers (DIDs) elimina a dependência de registros centralizados para identificadores, bem como autoridades de certificação centralizadas para gerenciamento de chaves, que é o padrão em PKI hierárquica. Nos casos em que o registro DID é um razão distribuído, cada entidade pode atuar como sua própria autoridade raiz. Essa arquitetura é conhecida como PKI descentralizada (DPKI).
PKIEdit baseada em blockchain
Uma abordagem emergente para PKI é usar a tecnologia blockchain comumente associada à criptomoeda moderna. Como a tecnologia blockchain tem como objetivo fornecer um registro de informações distribuído e inalterável, ela possui qualidades consideradas altamente adequadas para o armazenamento e gerenciamento de chaves públicas. Algumas criptomoedas oferecem suporte ao armazenamento de diferentes tipos de chaves públicas (SSH, GPG, RFC 2230, etc.) e fornecem software de código aberto que oferece suporte direto a PKI para servidores OpenSSH. Embora a tecnologia blockchain possa se aproximar da prova de trabalho, muitas vezes sustentando a confiança na confiança que as partes confiantes têm em uma PKI, permanecem questões como conformidade administrativa com a política, segurança operacional e qualidade de implementação de software. Um paradigma de autoridade de certificação tem esses problemas, independentemente dos algoritmos e métodos criptográficos subjacentes empregados, e a PKI que busca conferir certificados com propriedades confiáveis também deve resolver esses problemas.
Aqui está uma lista de PKI baseada em blockchain conhecida :
- CertCoin
- FlyClient
- BlockQuick