PKI اللامركزية: النهج المقترحة لتحسين الأمن

بعد المقدمة في فجر الإنترنت ، مرت البنية التحتية للمفتاح العام (PKI) بعدة تكرارات للتغييرات والتحديثات ، لكنها لا تزال المنهجية التقليدية لتشفير البيانات وتأمين الاتصالات. تدعم PKI خصوصية وحماية اتصال البيانات بين المتصفحات والخوادم ، ولكنها تتطلب ثقة ضمنية من كيان أو سلسلة كيانات واحدة تسمى المرجع المصدق (CA) والتي أدت إلى انهيار الثقة. عبر السنين ، أظهر وجود كيان جذري واحد للتحكم في طريقة إصدار المفاتيح الخاصة للجمهور أنه يمكن أن يسبب مضاعفات كبيرة مع الشفافية والأمان.

في هذه المقالة ، سوف نتعمق مرة أخرى في مشاكل النظام الحالي وننظر في الحلول التي يتم تطويرها والتي يمكنها التغلب على أوجه القصور الحالية.

التحديات الحالية للبنية التحتية للمفتاح العام

الأسلوب الأكثر استخدامًا في البنية التحتية للمفتاح العام (PKIs) هو الويب PKI. إنه نظام يستند إلى "شهادة المرجع" يعتمد بنية تحتية الثقة المركزية. المهمة التي يحلها PKI هي ضمان أمان المراسلات بين معرف الموضوع والمفتاح العمومي الخاص به. يجب التحقق من هذا الامتثال للتحقق من صحة الطرف الذي تم تأسيس الاتصال الآمن به. تتمثل المهمة الأكثر أهمية في تأسيس المراسلات بين الهوية (بيانات التعريف) والمفتاح العمومي للمستخدم. يتم حل هذه المشكلة باستخدام شهادة مفتاح عمومي - مستند إلكتروني يستخدم لإثبات ملكية مفتاح عمومي. تحتوي الشهادة على المفتاح العمومي وبيانات اعتماد المستخدم ، بالإضافة إلى التوقيع الإلكتروني للطرف الموثوق الذي يتحقق من المستخدم. من أجل ضمان سلامة وشهادة الشهادة ، تم التوقيع عليها من قبل طرف موثوق به - وهو المرجع المصدق.

تحتوي حلول PKI Web المركزية على عدد من المشكلات الحادة:

1. هناك بعض التحديات المرتبطة بالإخطار السريع بالتسوية الرئيسية ، حيث إن تكوين وتوزيع قائمة الشهادات الملغاة قد يستغرق من عدة دقائق إلى ساعة. نتيجة لذلك ، لا يوجد ضمان بنسبة 100٪ بأن هذا المفتاح ينتمي إلى مستخدم معين في الوقت الحالي.
2. إذا تم التحقق من الشهادة عبر الإنترنت (بناءً على طلب من سلطة التصديق) ، فستنتهك خصوصية المستخدم ، لأن سلطة التصديق ستعرف التاريخ الكامل لتفاعل المستخدم.
3. الصعوبات المرتبطة باكتشاف شهادات المراجع المصدقة الجذر غير المرغوب فيها. في هذه الحالة ، يمكن تثبيت الأجهزة على مسار حركة المرور المشفرة بين العميل والخادم ، مما يؤدي إلى فك تشفير جميع البيانات دون أن يلاحظها العميل والخادم.
   
4. يمكن إصدار عدة شهادات بنفس الاسم ، أي يمكن أن يكون المعرف نفسه معتمدًا في مراكز الجذر المختلفة.
   
5. عملية تجديد الشهادة معقدة ، لأنك تحتاج إلى الاتصال بمركز التسجيل مرة أخرى ، وتغيير البيانات ، وتجديد الشهادة والتصديق عليها مع سلطة إصدار الشهادات.
   
6. هناك معايير مختلفة للتوقيعات الإلكترونية ، نتيجة للحاجة إلى تحديد خوارزميات تنشأ ويعاني المستخدمون من مشاكل التوافق.
   
7. دائمًا ما يكون مركز النظام نقطة هجوم ، وسيؤدي عرض شهادة الجذر إلى تعريض النظام بأكمله إلى مجموعة من الثغرات الأمنية.
   
8. إدارة المعرف هي في أيدي منظمة مركزية ، ولا تنتمي إلى صاحب المعرف نفسه.
   

كما نرى ، فإن البنية التحتية للمفتاح العام في حاجة ماسة إلى إصلاح شامل للقضاء على الثغرات الأمنية التي تهدد وسيلة سليمة لتأمين أنظمة المؤسسة. قامت فرقة مهام هندسة الإنترنت (IETF) المسؤولة عن Web PKI نفسها بإنشاء مذكرة تصف المشكلات الحالية الخاصة بـ PKI والتي توافق على أن التنفيذ الحالي لـ Web PKI لديه مشاكل يجب عدم تجاهلها. يفرض تصميم PKI القديم مخاطر أمنية عالية لأنه يمكن استخدام نقطة فشل واحدة لفتح أي اتصال مشفر عبر الإنترنت. تكافح أنظمة PKI المركزية لمواكبة المشهد الرقمي المتطور وهناك حاجة إلى مقاربة مصممة بشكل أفضل لامركزي لمعالجات PKI.

تأتي اللامركزية في عملية الإنقاذ

في PKI اللامركزي ، يعمل blockchain بمثابة تخزين رئيسي ذي قيمة لا مركزية. إنه قادر على تأمين قراءة البيانات لمنع هجمات MITM (Man-In-The-Middle) ، وتقليل قوة الأطراف الثالثة. من خلال جلب قوة تقنية blockchain إلى الأنظمة ، تعمل DPKI على حل المشكلات المتعلقة بأنظمة PKI التقليدية. يمكن للطبيعة اللامركزية لإطار الإدارة معالجة المشكلات التي تواجه أنظمة المرجع المصدق (CA) من خلال إبطال الشهادات ، وإزالة نقاط الفشل الفردية ، والرد السريع على إساءة استخدام المراجع المصدقة (CA). إن Blockchain قادر على جعل العملية شفافة وغير قابلة للتغيير ومنع المهاجمين من الاختراق ، وبالتالي تجنب هجمات MITM بشكل فعال.

لا تتطلب الحلول المستندة إلى Blockchain أي معايير متخصصة للعمل مع البيانات الموجودة على blockchain - ولكنها تتطلب فقط البرامج التي تسمح لهم بالتفاعل مع السلسلة. يتيح ذلك لأنظمة تقنية المعلومات التحقق من الشهادات باستخدام واجهات برمجة التطبيقات للتفاعل مع blockchain ويضمن إمكانية التشغيل المتداخل مع جميع المنصات (الخادم أو سطح المكتب أو الهاتف المحمول). تشمل المزايا الأخرى لـ blockchain في سياق PKI ما يلي:

• الشفافية. سيتمكن جميع المشاركين في blockchain من الوصول إلى منطق العقد الذكي ، مما يوفر الشفافية فيما يتم الاتفاق عليه في العقد الرقمي. يتم تسجيل المعاملات أيضًا لتوفير مسار تدقيق واضح.
• تخفيض الموارد. مع blockchain والعقود الذكية التي تعمل كوسيط أو وكلاء ، يمكن تقليل الموارد والوقت المستغرق للمعاملات. هذا هو الحال خاصة في حالة العقود الذكية التي يتم فيها الاتفاق على شروط محددة مسبقًا ، وتحدث عملية التنفيذ الذاتي بمجرد استيفاء هذه الشروط.
• القضاء على الأخطاء. مع كل العقد على شبكة معالجة المعاملات بشكل فردي ، وتحديث السجلات وتسويتها ، يمكن حذف الأخطاء في العمليات الحسابية.
• النزاهة. تتم تسوية السجلات مع بعضها البعض لضمان عدم إجراء تغييرات غير مصرح بها.
• المتانة. نظرًا لأنه لا يتم التحكم في السجلات بواسطة نقاط معينة وحدها ، فلا توجد نقطة فشل واحدة في شبكة blockchain بأكملها. هذا يجعل شبكة blockchain أكثر متانة وقوة.
• تحسين التسامح مع الخطأ ومقاومة DDoS. واحدة من ميزات blockchain العروض هي التخفيف من مخاطر هجمات رفض الخدمة (DDoS). يتم ذلك عن طريق إلغاء تحميل ضغط الإنتاجية بين جميع العقد في الشبكة. يستطيع مطور التطبيقات ، الذي يستخدم نهج blockchain ، استضافة عقدة مستقلة لخدمة مستخدميهم ، أو حسب أي حالة ، استخدم أي عقدة متاحة للجمهور.

نهج ل Blockchain القائم على

في الوقت الحالي ، هناك عدة طرق لحل المشكلات الموضحة أعلاه ، على النحو التالي:

• البنية التحتية اللامركزية للمفتاح العام (DPKI) بناءً على تقنية ربط المعاملات ، من إعداد Andrey Chmora ، مدير التكنولوجيا والابتكار في ENCRY.
  اقترح أندري شمورا مقاربة جديدة لبناء PKI للتخلص من العيوب الموجودة باستخدام تقنية دفتر الأستاذ الموزع (blockchain). تقترح التكنولوجيا الحاصلة على براءة اختراع والتي تم وصفها في أحد مقالاتنا السابقة طريقة للتحقق من أن مجموعات معينة من المفاتيح العامة تنتمي حقًا إلى مالكي معينين دون الحاجة إلى مراكز إصدار الشهادات ومفهوم الشهادة ككل. يُقترح إنشاء معاملة خالية من أجل تخزين المعلومات حول المالك ومحفظته الإلكترونية (يتم خصم رسوم العمولة من خلالها إضافة معاملة إلى دفتر الأستاذ). تعتبر المعاملة الفارغة بمثابة "مرساة" لتثبيت المعاملات التالية جنبًا إلى جنب مع البيانات المتعلقة بالمفاتيح العامة. تحتوي كل معاملة من هذا النوع على بنية بيانات متخصصة تسمى "إخطار" - مجموعة بيانات منظمة من الحقول الوظيفية التي تخزن معلومات حول المفتاح العمومي للمالك وتضمن استمرار هذا المفتاح عن طريق إضافته إلى أحد السجلات ذات الصلة في الموزع دفتر الأستاذ.
• IKP (Instant Karma PKI) - تحويل PKI مع Blockchain ، لستيفانوس ماتسوموتو من جامعة كارنيجي ميلون ورافائيل ريشوك من ETH زيوريخ.
  يجادل الباحثون بأن تحسينات PKI المستندة إلى السجل مثل شهادة الشفافية لا تقدم حوافز كافية للسجلات والمراقبين ، ولا تقدم أي إجراءات يمكن أن تتخذها المجالات استجابة لسوء تصرف CA. لمعالجة هذه المشكلة ، يقترحون IKP ، وهو تحسين يعتمد على PKI على أساس سلسلة المفاتيح والذي يوفر ردودًا تلقائية على سوء سلوك CA وحوافز لأولئك الذين يساعدون في اكتشاف سوء السلوك. من خلال أبحاثهم ، أثبتوا أن الطبيعة اللامركزية لنظام العقد IKP ويتيح لهم المشاركة المفتوحة ، ويقدمون حوافز لليقظة على CA ، ويمكّن من اللجوء المالي ضد سوء السلوك ، وأن الحوافز والردع المتزايد الذي توفره IKP قابلان للتطبيق تقنيًا واقتصاديًا.
• بنية تحتية للمفتاح العام (DPKI) ، برعاية Respect Network و PWC و Open Identity Exchange و Alacrity Software.
  تجادل مجموعة الباحثين بأن مشكلات الأمان وسهولة الاستخدام الخاصة بـ PKI يمكن معالجتها من خلال استخدام مراكز البيانات ذات القيمة المركزية اللامركزية لإنشاء مواصفات للبنية التحتية للمفتاح العام (DPKI). المبدأ الأساسي لـ DPKI هو أن الهويات تنتمي إلى الكيانات التي تمثلها. يتطلب ذلك تصميم بنية تحتية لا مركزية حيث يتم التحكم في كل هوية ليس بواسطة جهة خارجية موثوق بها ، ولكن بواسطة مالكها الرئيسي. لقد أظهر البحث أن DPKI تعمل حتى على الأجهزة المحمولة المحدودة الموارد ، وأنها قادرة على الحفاظ على سلامة المعرفات من خلال حماية المنظمات من فقدان المفتاح الخاص أو التسوية. تتمتع DPKI بمزايا في كل مرحلة من مراحل دورة حياة PKI. فإنه يجعل التمهيد بدون إذن من الهويات عبر الإنترنت ممكن ويوفر إنشاء بسيط لشهادات SSL أقوى.
• دعم وثائق التفويض الغنية مع Blockchain PKI ، بواسطة كارين لويسون وفرانسيسكو كوريلا. يعالج المحققون مشكلة إثبات الهوية عن بُعد. على الرغم من أن أسلوبهم في تطبيق PKI على blockchain مع التخزين على السلسلة يتطلب وجود المرجع المصدق المُصدر ، إلا أنه يأتي مع العديد من المزايا. يتم إجراء التحقق من الإلغاء على نسخة المدقق المحلية من blockchain دون الحاجة إلى CRLs أو OCSP. يحل هذا الاقتراح مشكلة قديمة من PKI التقليدية من خلال عدم طلب استخدام خدمة تصدر قوائم إبطال الشهادات (CRLs) أو تستجيب لاستعلامات بروتوكول حالة الشهادة عبر الإنترنت (OCSP).
• PB-PKI: PKI المستندة إلى الخصوصية في PKI ، بقلم لويز أكسون ومايكل جولدسميث ، جامعة أكسفورد.
  يجادل الباحثون أن المقترحات الحالية لا توفر الوعي بالخصوصية المطلوب من PKI في بعض التطبيقات الحالية والناشئة. تهدف أبحاثهم إلى توضيح كيف يمكن بناء PKI المستندة إلى blockchain لتوفير مستويات مختلفة من الوعي بالخصوصية. على الرغم من أن الاقتراح يحقق إخفاء الهوية الكاملة ، إلا أن ذلك يأتي بتكلفة أمنية: يمكن لأعضاء الشبكة العبث على المدى القصير بالمفاتيح العامة للآخرين. يمكن تحسين أمان PB-PKI من خلال تحقيق مستوى أقل قليلاً من الخصوصية من خلال تصديق المجموعات المجاورة ، التي تتحقق من التغييرات الرئيسية في التحديثات.

استنتاج

سن PKI التي تسيطر عليها سلطات الشهادة يقترب من نهايته. إن الاحتياجات المتطورة للمؤسسات ، وزيادة اتصالها ، والقدرات المحسنة للمهاجمين الأكثر تطوراً ، استلزم الانتقال إلى بديل أكثر مرونة. يتواجد هذا البديل على blockchain ، حيث لا يتم تطبيق العديد من نقاط الضعف الأساسية في PKI التقليدية. Blockchain ليست حلا أمنيا ، ولكن في سياق PKI ، هناك فوائد مقنعة يمكن الاستفادة منها من استخدام بيئة لا مركزية.