I stort sett har det traditionellt funnits tre metoder för att få detta förtroende: certifikatmyndigheter (CA), web of trust (WoT) och enkel offentlig nyckelinfrastruktur (SPKI).
Certifikatmyndigheter Redigera
CA: s primära roll är att digitalt signera och publicera den offentliga nyckel som är bunden till en given användare. Detta görs med CA: s egen privata nyckel, så att förtroendet för användarnyckeln är beroende av ens förtroende för CA: s nyckel. När CA är en tredje part separat från användaren och systemet, då kallas det Registration Authority (RA), som kan eller inte kan vara skilt från CA. Nyckel-till-användare-bindningen upprättas, beroende på vilken säkerhetsnivå bindningen har, av programvara eller under mänsklig tillsyn.
Termen betrodd tredje part (TTP) kan också användas för certifikatutfärdare (CA). Dessutom används PKI ofta som en synonym för en CA-implementering.
Utgivarens marknadsandel Redigera
Senaste uppdatering : < senast uppdaterad > (januari 2020)
I denna modell av förtroendeförhållande s, en CA är en betrodd tredje part – betrodda både av certifikatets ämne (ägare) och av den part som förlitar sig på certifikatet.
Enligt NetCraft-rapporten från 2015 är branschstandarden för övervakning av aktiv Transport Layer Security (TLS) certifikat, säger att ”Även om det globala ekosystemet är konkurrenskraftigt domineras det av en handfull stora certifikatutfärdare – tre certifikatmyndigheter (Symantec, Sectigo, GoDaddy) står för tre fjärdedelar av alla utfärdade certifikat på offentliga inför webbservrar. Topplaceringen har hållits av Symantec (eller VeriSign innan den köptes av Symantec) ända sedan undersökningen började, och den står för närvarande för knappt en tredjedel av alla certifikat. För att illustrera effekten av olika metoder, bland de miljoner mest trafikerade webbplatserna, utfärdade Symantec 44% av de giltiga, betrodda certifikaten som användes – betydligt mer än dess totala marknadsandel. ”
Efter stora problem i hur certifikatutfärdandet var hanterades, misstro alla större spelare gradvis Symantec utfärdade certifikat från och med 2017.
Tillfälliga certifikat och enkel inloggningsredigering
Detta tillvägagångssätt involverar en server som fungerar som en offline certifikatmyndighet inom en enda inloggningssystem. En enda inloggningsserver kommer att utfärda digitala certifikat i klientsystemet, men lagrar dem aldrig. Användare kan köra program etc. med det tillfälliga certifikatet. Det är vanligt att hitta den här lösningen med X.509 baserade certifikat.
Från och med september 2020 reduceras TLS-certifikatets giltighet till 13 månader.
Web of trustEdit
Ett alternativt tillvägagångssätt för problemet med offentlig autentisering av offentlig ke y-informationen är web-of-trust-schemat som använder självsignerade certifikat och intyg från tredje part av dessa certifikat. Den enskilda termen ”web of trust” innebär inte att det finns en enda webbsida av förtroende eller gemensam förtroendepunkt, utan snarare en av valfritt antal potentiellt osammanhängande ”webbs of trust”. Exempel på implementeringar av detta tillvägagångssätt är PGP (Pretty Good Privacy) och GnuPG (en implementering av OpenPGP, den standardiserade specifikationen för PGP). Eftersom PGP och implementeringar tillåter användning av digitala signaturer via e-post för självpublicering av offentlig nyckelinformation är det relativt enkelt att implementera sin egen webb av förtroende.
En av fördelarna med webben av förtroende, som till exempel i PGP, är att det kan samarbeta med en PKI CA som helt och hållet är betrodd av alla parter i en domän (såsom en intern CA i ett företag) som är villig att garantera certifikat, som en betrodd introduktion. Om ” web of trust ”är helt pålitligt då, på grund av naturen hos ett förtroende, att lita på ett certifikat är att ge alla certifikat på den webben förtroende. En PKI är bara lika värdefull som de standarder och metoder som styr utfärdandet av certifikat och inkludera PGP eller ett personligt inrättat nät av förtroende kan avsevärt försämra tillförlitligheten för företagets eller domänens implementering av PKI.
Konceptet Web of trust lades först fram av PGP-skaparen Phil Zimmermann i 1992 i manualen för PGP version 2.0:
Med tiden kommer du att samla nycklar från andra människor som du kanske vill utse som betrodda introduktioner. Alla andra väljer var och en sina egna betrodda introduktioner. Och alla kommer gradvis att samla in och distribuera med sin nyckel en samling certifierande signaturer från andra människor, med en förväntan att alla som får den kommer att lita på minst en eller två av signaturerna.Detta kommer att orsaka framväxten av en decentraliserad feltolerant nät av förtroende för alla offentliga nycklar.
Enkel infrastruktur för offentlig nyckelRedigera
Ytterligare alternativ, som inte handlar om offentlig autentisering av information om offentlig nyckel, är den enkla offentliga nyckelinfrastrukturen (SPKI) som växte ut ur tre oberoende ansträngningar för att övervinna komplexiteten i X.509 och PGP: s förtroende. SPKI associerar inte användare med personer, eftersom nyckeln är vad som är betrodd snarare än personen. SPKI använder inte någon uppfattning om förtroende, eftersom verifieraren också är utfärdaren. Detta kallas en ”auktorisationsslinga” i SPKI-terminologi, där auktorisationen är integrerad Denna typ av PKI är speciellt användbar för att göra integrationer av PKI som inte är beroende av tredje part för certifikatbehörighet, certifikatinformation etc.; Ett bra exempel på detta är ett Air-gapped-nätverk på ett kontor.
Decentraliserad PKIEdit
Decentraliserad iden tifiers (DID) eliminerar beroende av centraliserade register för identifierare samt centraliserade certifikatmyndigheter för nyckelhantering, vilket är standarden i hierarkisk PKI. I fall där DID-registret är en distribuerad huvudbok kan varje enhet fungera som sin egen rotmyndighet. Denna arkitektur kallas decentraliserad PKI (DPKI).
Blockchain-baserad PKIEdit
Ett framväxande tillvägagångssätt för PKI är att använda blockchain-tekniken som vanligtvis förknippas med modern kryptovaluta. Eftersom blockchain-teknik syftar till att tillhandahålla en distribuerad och oföränderlig informationsbok, har den egenskaper som anses vara mycket lämpliga för lagring och hantering av offentliga nycklar. Vissa kryptovalutor stöder lagring av olika offentliga nyckeltyper (SSH, GPG, RFC 2230, etc.) och tillhandahåller programvara med öppen källkod som direkt stöder PKI för OpenSSH-servrar. Medan blockchain-teknik kan approximera beviset på arbete som ofta bygger på förtroendet för förtroende som förlitande parter har till en PKI, är det fortfarande frågor som administrativ överensstämmelse med policy, operativ säkerhet och programvaruimplementeringskvalitet. Ett certifikatmyndighetsparadigm har dessa problem oavsett de underliggande kryptografiska metoderna och algoritmerna som används, och PKI som försöker ge certifikat med pålitliga egenskaper måste också ta itu med dessa problem.
Här är en lista över kända blockchain-baserade PKI :
- CertCoin
- FlyClient
- BlockQuick