分布式PKI与传统PKI

baipose10个月前 (07-16)SSL行业新闻479

随着加密货币的兴起,区块链技术已经从晦涩的利基解决方案发展成为过去十年中最被炒作的新技术之一。爱好者声称区块链将彻底改变整个行业。传统PKI解决方案和提供这些传统PKI解决方案的证书颁发机构(CA)也不例外。

已经提出了几种基于区块链的PKI解决方案,并且已经实现了一些。开发分布式或基于区块链的PKI解决方案的小组声称,他们将取代传统系统,并通过“老派” PKI实施解决问题。

炒作vs分布式PKI的现实

分布式PKI专家指出了传统PKI解决方案的许多失败之处,并声称分布式PKI解决方案可解决这些缺点。要了解分布式PKI的前景,需要仔细研究这些声明。


这些论点将对基本体系结构的批评与对商业模型,通用惯例甚至单个公司的批评相结合。划分这些问题很重要。尽管确实使公共CA DigiNotar遭到黑客攻击,但是要得出一个结论,即一个组织在近十年前的失败等同于整个技术范式的全面解散,这是一个巨大的飞跃。

还要注意,上述许多论据在事实或推理上都是有缺陷的。例如,赛门铁克以Google的名义发行证书是主要事件之一,最终导致Google对赛门铁克根源的信任度下降,并迫使赛门铁克完全退出了数字证书业务。因此,在那种情况下肯定存在监督和问责制。

基于区块链的PKI的优势优势 

分布式PKI倡导者表示,由于区块链解决方案同时在数万台计算机上运行,因此其设计消除了“老式PKI系统”的风险,因为:

  • 区块链是一个开放,透明和安全的架构。

  • 任何人都可以阅读其所有内容;公司不需要信任CA

  • 如果有人以他人的名义签发证书,那么链中的每个人都会看到该证书

CA已实施了证书透明性日志,在该日志中发布了所有已颁发的证书,这提供了分布式PKI所声称的安全优势。

分布式PKI的现实

分布式PKI倡导者将注意力集中在传统PKI系统中的假定弱点上,但这样做不能解决任何PKI实现中的关键组件。现代的PKI解决方案必须提供许多关键功能,而基于区块链的系统无法明确解决这些关键功能。

需要中央权力机构

证书颁发机构公司为公共和私人使用情况提供证书颁发。名称,证书颁发机构从这些公司在验证和认证数字证书请求中所扮演的角色衍生而来。在颁发证书之前,至关重要的是要验证请求者实际上是声称的身份的人。对于公共证书颁发,CA在验证请求者的身份时遵循CA / Browser论坛规则。这些规则指定了多个级别的信任,并为更高级别的信任提供了更广泛的验证要求。至少,请求者必须验证对要颁发证书的域的控制。为了获得更高级别的信任,需要执行其他步骤,其中可能包括打个电话并提供法律文件以证明身份。

为了使分布式PKI解决方案能够广泛使用,需要一种验证请求者的方法。公共和私有PKI解决方案都需要这样做。对于私人证书发行,可以使用智能合约在“区块链上”执行此功能。对于公共证书发行,这必须在“区块链之外”执行。

谁掌握钥匙?

任何PKI解决方案的整个操作都取决于保护证书层次结构中根证书的私钥。此要求的重要性不可夸大。

如果私有根密钥被盗,则有权访问这些密钥的任何人都可能破坏整个PKI操作。CA竭尽全力保护这些密钥,将它们存储在HSM中,HSM是位于数据中心中的高度安全的硬件,受物理安全和网络安全措施的保护,并且通常脱机存储。CA在安全措施和协议方面拥有数十年的经验和投资,以确保这些最关键资产的安全。

为了确保分布式PKI解决方案的安全性,需要采取类似的措施,这将大大限制分布式PKI解决方案的分布式性质。虽然PKI流程的某些方面可以利用区块链,但是任何需要根密钥的签名操作都必须在中央位置且不在区块链上执行。

促进私有生态

许多企业需要专用的PKI生态系统来提供用户身份验证证书,以替换基于密码的登录名,用于IoT设备身份验证的设备身份证书以及用于DevOps用例的流程身份验证证书。企业要求安全性和隐私性,即使不是不可能,也很难在公共区块链上维护。例如,企业可能希望保留已颁发证书的数量,颁发给谁的详细信息以及其他细节,从而消除使用开放/公共区块链的选择。

尽管可以利用私有区块链,但这种方法不切实际。公共区块链的主要好处之一是,区块链可以在数百个甚至数千个节点上运行。拆分这种规模的私有区块链的成本将抵消使用区块链的任何成本节省。集中式PKI解决方案将更具成本效益。

与企业解决方案集成

PKI是企业,政府IT系统和其他大规模标识系统使用的工具。PKI系统的成功取决于它与这些系统集成的难易程度。CA一直在开发自动化工具,并且企业数十年来一直在与这些解决方案集成。为了使分布式PKI解决方案可行,他们将需要启用标准PKI协议,其中一些协议假定为集中式应用程序。将现有解决方案迁移到分布式PKI将需要大量的集成工作,并且对于许多用例而言,这根本不可行。

分布式PKI用例

虽然分布式PKI不太可能成为大多数系统的首选解决方案,但在某些用例中,基于区块链的实现可能会提供一个很好的工具来实现PKI解决方案的某些元素。

证书透明度日志

证书颁发机构在证书透明(CT)日志上发布所有已颁发的公共证书。这样可以提高透明度和问责制,并允许对证书颁发实践进行审核,以确保符合CA / Browser Forum的要求。CT日志以Merkle树的形式实现,像区块链一样,它使用加密哈希标记节点以确保完整性。

区块链将是为私有PKI甚至未来版本的公共CT日志实施证书透明性日志的理想选择。

基于区块链的证书吊销

证书吊销检查是通过分发可以检查吊销证书的证书吊销列表(CRL)来执行的,或更常见的方法是使用联机证书状态协议(OCSP)(一种用于按需证书吊销检查的协议)。OCSP通常使用大规模分布式系统来实现可伸缩性。

基于区块链的证书吊销检查系统可以提供优于当前OCSP和CRL系统的优势。轻量级的基于区块链的证书吊销检查协议在包括资源有限的物联网系统在内的各种用例中可能都很有价值。

基于区块链的系统的证书颁发 

分布式PKI解决方案可能是在基于区块链的系统(例如,加密货币系统)中为节点和用户提供身份的理想选择。在这些情况下,已经存在区块链,因此使用它存储已颁发的证书和吊销信息可能是很自然的选择。

这样的系统可能能够利用协议组件来发行证书,但是仍然需要集中的注册和签名机构来提供私有根密钥的保护和证书签名请求的验证。

摘要 

当前,分布式PKI项目存在索偿范围过大的问题,并且实施尚不成熟。更重要的是,分布式PKI解决方案无法提供优于传统解决方案的固有优势。他们声称要解决的问题主要是实现错误,遗留系统中的缺陷以及缺乏自动化,所有这些已由现有的CA供应商解决。

分布式PKI解决方案也无法解决PKI层次结构的根密钥保护问题。确保根密钥的安全性要求将它们存储在HSM中,这与分布式解决方案相反。分布式PKI实现也缺乏验证,即无法确定请求证书的实体是否确实是其声称的身份。

尽管基于区块链的技术可能会在某些PKI实施中发挥作用,但似乎并没有准备好颠覆整个行业。尽管区块链是一项非常酷的新技术,并且拥有各种令人兴奋的现实世界应用程序,但它尚未准备好替换现有的PKI安全实施。



相关文章

Entrust Datacard已任命DNA Connect为其最新的澳大利亚分销商

身份和安全发行技术供应商Entrust Datacard已任命DNA Connect为其最新的澳大利亚分销商。该交易是在今年早些时候与Entrust Datacard子公司nCipher Securi...

一年期SSL证书行业强制变更倒计时:34天

从2020年8月19日(星期三)开始,Sectigo将不再能够提供两年期的公共TLS证书,因为苹果和谷歌提出了一项全行业的要求,即任何在2020年8月30日之后颁发的两年期TLS证书都将不受其浏览器的...

FBI针对HTTPS网络钓鱼发布警告

“不要因为一个网站在浏览器地址栏中有一个锁的标识或“https”就信任它。”6月10号,美国联邦调查局(FBI)就HTTPS网络钓鱼案件的上升发出了公开警告。几周前,Anti-Phishing Wor...

通知!Symantec品牌证书已正式更名为Digicert

尊敬的合作伙伴和客户:您好!2017年8月2日,CA认证机构Digicert宣布正式收购 Symantec 安全认证业务。为此,Digicert宣布从2020年4月30日起,停止使用与赛门铁克(Sym...

谷歌宣布开始全面封杀使用沃通CA签发的SSL证书

那么沃通到底做错了什么,受到谷歌浏览器厂商封杀呢?原因有三:一是有申请发现沃通的免费证书服务存在问题,只要申请者证明他们拥有子域名,即可申领到根域名的证书(全球最大的开源代码社区Github就是这样被...

9月1日起,TrustAsia品牌SSL证书最长有效期变更为一年

从2020年9月1日开始,TrustAsia品牌SSL / TLS证书最长有效期变更为398天(13个月)。即2020年8月31日之后,TrustAsia品牌将不再颁发2年期证书,证书有效期再次缩短为...