În linii mari, în mod tradițional au existat trei abordări pentru obținerea acestei încrederi: autoritățile de certificare (CA), web of trust (WoT) și infrastructura simplă a cheii publice (SPKI).
Certificate AuthorityEdit
Rolul principal al CA este de a semna și publica digital cheia publică legată de un anumit utilizator. Acest lucru se face folosind propria cheie privată a CA, astfel încât încrederea în cheia utilizatorului se bazează pe încrederea în validitatea cheii CA. Atunci când CA este o terță parte separată de utilizator și sistem, apoi se numește Autoritatea de înregistrare (RA), care poate sau nu să fie separată de CA. Legarea cheie-utilizator este stabilită, în funcție de nivelul de asigurare pe care legătura îl are, prin software sau sub supraveghere umană.
Termenul de terță parte de încredere (TTP) poate fi folosit și pentru autoritatea de certificare (CA). Mai mult, PKI este el însuși folosit ca sinonim pentru o implementare CA.
Cota de piață a emitentuluiEdit
Ultima actualizare : < ultima actualizare > (ianuarie 2020)
În acest model de relație de încredere s, o CA este o terță parte de încredere – de încredere atât de subiectul (proprietarul) certificatului, cât și de partea care se bazează pe certificat.
Conform raportului NetCraft din 2015, standardul industrial pentru monitorizarea activă Certificatele Transport Layer Security (TLS) afirmă că „Deși ecosistemul global este competitiv, acesta este dominat de o mână de CA-uri majore – trei autorități de certificare (Symantec, Sectigo, GoDaddy) reprezintă trei sferturi din toate certificatele emise pe care se confruntă cu servere web. Locul de top a fost deținut de Symantec (sau VeriSign înainte de a fi achiziționat de Symantec) încă de la începutul sondajului, acesta reprezentând în prezent puțin sub o treime din toate certificatele. Pentru a ilustra efectul diferitelor metodologii, printre cele mai aglomerate milioane de site-uri Symantec a emis 44% din certificatele valabile și de încredere utilizate – semnificativ mai mult decât cota sa generală de piață. „
În urma unor probleme majore privind modul în care au fost emise certificatele gestionate, toți jucătorii majori s-au încredințat treptat de certificatele emise de Symantec începând cu 2017.
Certificate temporare și single sign-onEdit
Această abordare implică un server care acționează ca o autoritate de certificare offline într-o singură sistem de conectare. Un singur server de conectare va emite certificate digitale în sistemul client, dar nu le va stoca niciodată. Utilizatorii pot executa programe etc. cu certificatul temporar. Este obișnuit să găsiți această varietate de soluții cu X.509- certificate bazate pe.
Începând cu septembrie 2020, valabilitatea certificatului TLS redusă la 13 luni.
Web of trustEdit
O abordare alternativă a problemei autentificării publice a ke-urilor publice y informațiile sunt schema web-of-trust, care utilizează certificate auto-semnate și atestări terțe ale acestor certificate. Termenul singular „rețea de încredere” nu implică existența unei rețele unice de încredere sau a unui punct comun de încredere, ci mai degrabă unul dintre orice număr de „rețele de încredere” potențial disjuncte. Exemple de implementări ale acestei abordări sunt PGP (Pretty Good Privacy) și GnuPG (o implementare a OpenPGP, specificația standardizată a PGP). Deoarece PGP și implementările permit utilizarea semnăturilor digitale prin e-mail pentru auto-publicarea informațiilor cu cheie publică, este relativ ușor să implementați propria rețea de încredere.
Unul dintre avantajele web de încredere, cum ar fi în PGP, este că poate interoperă cu o CA PKI pe care toate părțile dintr-un domeniu (cum ar fi o CA internă dintr-o companie) care este dispus să garanteze certificate, ca un introductor de încredere. web of trust „este complet de încredere atunci, datorită naturii unui web de încredere, încrederea într-un certificat este acordarea de încredere tuturor certificatelor din acel web. Un PKI este la fel de valoros ca standardele și practicile care controlează eliberarea certificatelor și includerea PGP sau a unei rețele de încredere instituite personal ar putea degrada în mod semnificativ fiabilitatea implementării PKI a acelei întreprinderi sau domeniu.
Conceptul rețelei web a încrederii a fost lansat pentru prima dată de către creatorul PGP Phil Zimmermann în 1992 în manualul pentru PGP versiunea 2.0:
Odată cu trecerea timpului, veți acumula chei de la alte persoane pe care ați putea dori să le desemnați ca introductori de încredere. Toți ceilalți își vor alege fiecare propriile persoane de încredere. Și toată lumea va acumula treptat și va distribui cu cheia lor o colecție de semnături de certificare de la alte persoane, cu așteptarea ca oricine o primește să aibă încredere în cel puțin una sau două dintre semnături.Acest lucru va provoca apariția unei rețele de încredere descentralizate, tolerante la erori, pentru toate cheile publice.
Infrastructura cheii publice simpleEdit
alternativa, care nu se ocupă de autentificarea publică a informațiilor cu cheie publică, este simpla infrastructură cu cheie publică (SPKI) care a luat naștere din trei eforturi independente de a depăși complexitatea X.509 și a rețelei de încredere a PGP. SPKI nu asociază utilizatorii cu persoane, deoarece cheia este ceea ce este de încredere, mai degrabă decât persoana. SPKI nu folosește nicio noțiune de încredere, deoarece verificatorul este și emitentul. Aceasta se numește „buclă de autorizare” în terminologia SPKI, unde autorizarea este integrală Acest tip de PKI este deosebit de util pentru realizarea integrărilor de PKI care nu se bazează pe terțe părți pentru autorizarea certificatului, informații despre certificat etc .; Un bun exemplu în acest sens este o rețea Air-gapped într-un birou.
PKIEdit descentralizat
Iden descentralizat tifierele (DID) elimină dependența de registrele centralizate pentru identificatori, precum și de autoritățile de certificare centralizate pentru gestionarea cheilor, care este standardul în PKI ierarhic. În cazurile în care registrul DID este un registru distribuit, fiecare entitate poate servi ca propria autoritate rădăcină. Această arhitectură este denumită PKI descentralizată (DPKI).
PKIEdit bazat pe blockchain
O abordare emergentă pentru PKI este utilizarea tehnologiei blockchain în mod obișnuit asociată cu criptomoneda modernă. Deoarece tehnologia blockchain își propune să ofere un registru de informații distribuit și inalterabil, are calități considerate extrem de potrivite pentru stocarea și gestionarea cheilor publice. Unele criptomonede acceptă stocarea diferitelor tipuri de chei publice (SSH, GPG, RFC 2230 etc.) și oferă software open source care acceptă direct PKI pentru serverele OpenSSH. În timp ce tehnologia blockchain poate aproxima dovada muncii care sprijină adesea încrederea în încrederea pe care o au părțile dependente într-un PKI, rămân aspecte precum conformitatea administrativă cu politica, securitatea operațională și calitatea implementării software-ului. O paradigmă a autorității de certificare are aceste probleme, indiferent de metodele și algoritmii criptografici subiacenți utilizați, iar PKI care încearcă să doteze certificatele cu proprietăți de încredere trebuie să abordeze și aceste probleme. :
- CertCoin
- FlyClient
- BlockQuick