Geekly articles weekly

PKI-Dezentralisierung: Vorgeschlagene Ansätze zur Verbesserung der Sicherheit

Nach der Einführung zu Beginn des Internets hat die Public-Key-Infrastruktur (PKI) mehrere Iterationen von Änderungen und Aktualisierungen durchlaufen, bleibt jedoch die traditionelle Methode zur Verschlüsselung von Daten und zur Sicherung der Kommunikation. PKI unterstützt den Datenschutz und den Schutz der Datenkommunikation zwischen Browsern und Servern, erfordert jedoch implizites Vertrauen von einer einzelnen Entität oder Entitätskette, die als Zertifizierungsstelle (CA) bezeichnet wird, was zu einem Vertrauensverlust geführt hat. Im Laufe der Jahre hat die Tatsache, dass eine Stammentität die Art und Weise kontrolliert, wie private Schlüssel an die Öffentlichkeit ausgegeben werden, gezeigt, dass dies zu erheblichen Komplikationen bei Transparenz und Sicherheit führen kann.

In diesem Artikel werden wir uns noch einmal eingehender mit den Problemen des aktuellen Systems befassen und die Lösungen betrachten, die entwickelt werden, um bestehende Mängel zu beheben.

Aktuelle Herausforderungen der Public-Key-Infrastruktur


Der am häufigsten verwendete Ansatz für Public-Key-Infrastrukturen (PKIs) ist die Web-PKI. Es handelt sich um ein auf Zertifizierungsstellen basierendes System, das eine zentralisierte Vertrauensinfrastruktur verwendet. Die Aufgabe, die PKI löst, besteht darin, die Sicherheit der Korrespondenz zwischen der Subjektkennung und ihrem öffentlichen Schlüssel zu gewährleisten. Diese Konformität muss überprüft werden, um die Echtheit der Partei zu überprüfen, mit der die sichere Verbindung hergestellt wurde. Die wichtigste Aufgabe besteht darin, die Entsprechung zwischen der Identität (Identifikationsdaten) und dem öffentlichen Schlüssel des Benutzers herzustellen. Dieses Problem wird mithilfe eines Zertifikats mit öffentlichem Schlüssel gelöst - einem elektronischen Dokument, mit dem der Besitz eines öffentlichen Schlüssels nachgewiesen wird. Das Zertifikat enthält den öffentlichen Schlüssel und die Benutzeranmeldeinformationen sowie die elektronische Signatur der vertrauenswürdigen Partei, die den Benutzer überprüft. Um die Integrität und Authentizität des Zertifikats sicherzustellen, wird es von einer vertrauenswürdigen Partei - einer Zertifizierungsstelle - signiert.

Zentralisierte Web-PKI-Lösungen weisen eine Reihe akuter Probleme auf:

  1. Mit der schnellen Benachrichtigung über wichtige Kompromisse sind einige Herausforderungen verbunden, da die Erstellung und Verteilung der Liste der widerrufenen Zertifikate mehrere Minuten bis eine Stunde dauern kann. Daher gibt es keine 100% ige Garantie dafür, dass dieser Schlüssel zum aktuellen Zeitpunkt einem bestimmten Benutzer gehört.
  2. Wenn das Zertifikat online überprüft wird (auf Anfrage an die Zertifizierungsstelle), wird die Privatsphäre des Benutzers verletzt, da die Zertifizierungsstelle den gesamten Verlauf der Benutzerinteraktion kennt.
  3. Schwierigkeiten beim Erkennen des Vorhandenseins von Zertifikaten unerwünschter Stammzertifizierungsstellen. In diesem Fall kann Hardware auf dem Pfad des verschlüsselten Datenverkehrs zwischen Client und Server installiert werden, wodurch alle Daten entschlüsselt werden, die von Client und Server unbemerkt bleiben.
  4. Es können mehrere Zertifikate für denselben Namen ausgestellt werden, d. H. Dieselbe Kennung kann an verschiedenen Stammzentren zertifiziert werden.
  5. Der Prozess der Zertifikatserneuerung ist kompliziert, da Sie das Registrierungszentrum erneut kontaktieren, Daten ändern, das Zertifikat neu generieren und es bei einer Zertifizierungsstelle zertifizieren müssen.
  6. Es gibt unterschiedliche Standards für elektronische Signaturen, da Algorithmen ausgewählt werden müssen und Benutzer unter Kompatibilitätsproblemen leiden.
  7. Das Zentrum des Systems ist immer ein Angriffspunkt, und durch die Gefährdung des Stammzertifikats wird das gesamte System einer Reihe von Sicherheitslücken ausgesetzt.
  8. Das Identifier Management befindet sich in den Händen einer zentralisierten Organisation und gehört nicht dem Identifier-Eigentümer selbst.

Wie wir sehen können, muss die Infrastruktur für öffentliche Schlüssel dringend überarbeitet werden, um die Sicherheitslücken zu beseitigen, die ein ansonsten solides Mittel zur Sicherung von Unternehmenssystemen bedrohen. Die Internet Engineering Task Force (IETF), die für die Web-PKI selbst verantwortlich ist, hat ein Memo erstellt, in dem aktuelle Probleme der PKI beschrieben werden. Dabei wird vereinbart, dass die aktuelle Implementierung der Web-PKI Probleme aufweist, die nicht ignoriert werden sollten. Das veraltete PKI-Design birgt hohe Sicherheitsrisiken, da ein einziger Fehlerpunkt zum Öffnen einer verschlüsselten Online-Kommunikation verwendet werden kann. Zentralisierte PKI-Systeme haben Probleme, mit der sich entwickelnden digitalen Landschaft Schritt zu halten, und es besteht Bedarf an einem besser konzipierten, dezentralen Ansatz für PKIs.

Dezentralisierung kommt zur Rettung


In der dezentralen PKI fungiert die Blockchain als dezentraler Schlüsselwertspeicher. Es ist in der Lage, die gelesenen Daten zu sichern, um MITM-Angriffe (Man-In-The-Middle) zu verhindern und die Leistung Dritter zu minimieren. DPKI bringt die Leistungsfähigkeit der Blockchain-Technologie in die Systeme ein und löst die Probleme mit herkömmlichen PKI-Systemen. Der dezentrale Charakter des Management-Frameworks kann die Probleme mit den CA-Systemen durch den Widerruf von Zertifikaten lösen, einzelne Fehlerquellen beseitigen und schnell auf den Missbrauch von CAs reagieren. Blockchain ist in der Lage, den Prozess transparent und unveränderlich zu machen und das Eindringen von Angreifern zu verhindern, wodurch die MITM-Angriffe effektiv vermieden werden.

Blockchain-basierte Lösungen erfordern keine speziellen Standards für den Betrieb mit Daten in der Blockchain. Sie benötigen lediglich Software, mit der sie mit der Kette interagieren können. Auf diese Weise können IT-Systeme Zertifikate mit APIs für die Interaktion mit der Blockchain überprüfen und die Interoperabilität mit allen Plattformen (Server, Desktop oder Mobile) sicherstellen. Weitere Vorteile der Blockchain im Zusammenhang mit PKI sind:

  • Transparenz Alle Teilnehmer an der Blockchain haben Zugriff auf die Logik des Smart-Vertrags und sorgen für Transparenz darüber, was im digitalen Vertrag vereinbart wird. Transaktionen werden ebenfalls aufgezeichnet, um einen klaren Prüfpfad bereitzustellen.
  • Ressourcenreduzierung. Durch Blockchain- und Smart-Verträge als Zwischenhändler oder Agenten können Ressourcen und Zeit für Transaktionen reduziert werden. Dies gilt insbesondere für intelligente Verträge, in denen vordefinierte Bedingungen vereinbart sind und ein sich selbst ausführender Prozess stattfindet, sobald diese Bedingungen erfüllt sind.
  • Fehler beseitigen. Wenn alle Knoten im Netzwerk Transaktionen einzeln verarbeiten, die Datensätze aktualisieren und abgleichen, können Berechnungsfehler weggelassen werden.
  • Integrität Die Aufzeichnungen werden miteinander abgeglichen, um sicherzustellen, dass keine nicht autorisierten Änderungen vorgenommen werden.
  • Haltbarkeit. Da Datensätze nicht nur von bestimmten Knoten gesteuert werden, gibt es im gesamten Blockchain-Netzwerk keinen einzelnen Fehlerpunkt. Dies macht ein Blockchain-Netzwerk langlebiger und robuster.
  • Verbesserte Fehlertoleranz und DDoS-Beständigkeit. Eine der Funktionen, die Blockchain bietet, ist die Minderung des DDoS-Angriffsrisikos (Denial-of-Service). Dies erfolgt durch Abladen des Durchsatzdrucks zwischen allen Knoten im Netzwerk. Ein App-Entwickler, der den Blockchain-Ansatz verwendet, kann einen unabhängigen Knoten hosten, um seine Benutzer zu bedienen, oder je nach Fall einfach einen öffentlich verfügbaren Knoten verwenden.

Ansätze zur Blockchain-basierten PKI


Derzeit gibt es verschiedene Ansätze zur Lösung der oben beschriebenen Probleme:

  • Dezentrale Public-Key-Infrastruktur (DPKI) basierend auf Transaktionsbindungstechnologie , von Andrey Chmora, Direktor für Technologie und Innovationen bei ENCRY.
    Andrey Chmora schlug einen neuen Ansatz zum Erstellen einer PKI vor, um die vorhandenen Nachteile mithilfe der Blockchain-Technologie (Distributed Ledger) zu beseitigen. Die in einem unserer vorherigen Artikel beschriebene patentierte Technologie bietet die Möglichkeit, zu überprüfen, ob bestimmte Sätze öffentlicher Schlüssel tatsächlich bestimmten Eigentümern gehören, ohne dass Zertifizierungszentren und ein Konzept für ein Zertifikat als Ganzes erforderlich sind. Es wird vorgeschlagen, eine Nulltransaktion zu erstellen, um die Informationen über den Eigentümer und seine E-Wallet zu speichern (von denen eine Provisionsgebühr für das Hinzufügen einer Transaktion zum Hauptbuch abgebucht wird). Eine Nulltransaktion dient als "Anker" zum Anschließen der nächsten Transaktionen zusammen mit den Daten zu öffentlichen Schlüsseln. Jede Transaktion dieses Typs enthält eine spezielle Datenstruktur, die als "Benachrichtigung" bezeichnet wird - einen strukturierten Datensatz von Funktionsfeldern, in dem Informationen über den öffentlichen Schlüssel des Eigentümers gespeichert und die Persistenz dieses Schlüssels garantiert werden, indem er zu einem der zugehörigen Datensätze in der verteilten Datei hinzugefügt wird Hauptbuch.
  • IKP (Instant Karma PKI) - Mit Blockchain eine PKI umdrehen , von Stephanos Matsumoto von der Carnegie Mellon University und Raphael Reischuk von der ETH Zürich.
    Die Forscher argumentieren, dass protokollbasierte PKI-Verbesserungen wie Zertifikatstransparenz keine ausreichenden Anreize für Protokolle und Monitore bieten und keine Maßnahmen bieten, die Domänen als Reaktion auf CA-Fehlverhalten ergreifen können. Um dieses Problem anzugehen, schlagen sie IKP vor, eine Blockchain-basierte PKI-Verbesserung, die automatische Antworten auf CA-Fehlverhalten und Anreize für diejenigen bietet, die bei der Erkennung von Fehlverhalten helfen. Durch ihre Forschung zeigen sie, dass das dezentrale System und das intelligente Vertragssystem von IKP eine offene Beteiligung ermöglichen, Anreize für die Wachsamkeit gegenüber Zertifizierungsstellen bieten, den finanziellen Rückgriff auf Fehlverhalten ermöglichen und dass die Anreize und die verstärkte Abschreckung, die IKP bietet, technisch und wirtschaftlich tragfähig sind.
  • Dezentrale Public-Key-Infrastruktur (DPKI) , gesponsert von Respect Network, PWC, Open Identity Exchange und Alacrity Software.
    Die Forschergruppe argumentiert, dass die Sicherheits- und Usability-Probleme von PKI durch die Verwendung dezentraler Schlüsselwert-Datenspeicher behoben werden können, um eine Spezifikation für eine dezentrale Infrastruktur öffentlicher Schlüssel (DPKI) zu erstellen. Das Grundprinzip von DPKI ist, dass Identitäten zu den Entitäten gehören, die sie repräsentieren. Dies erfordert den Entwurf einer dezentralen Infrastruktur, in der jede Identität nicht von einem vertrauenswürdigen Dritten, sondern von seinem Haupteigentümer kontrolliert wird. Die Forschung hat gezeigt, dass DPKI auch auf mobilen Geräten mit eingeschränkten Ressourcen funktioniert und die Integrität von Kennungen erhalten kann, indem Organisationen vor Verlust oder Kompromittierung privater Schlüssel geschützt werden. DPKI bietet in jeder Phase des PKI-Lebenszyklus Vorteile. Es ermöglicht das erlaubnislose Bootstrapping von Online-Identitäten und ermöglicht die einfache Erstellung stärkerer SSL-Zertifikate.
  • Unterstützen Sie Rich Credentials mit einer Blockchain-PKI von Karen Lewison und Francisco Corella. Die Ermittler befassen sich mit dem Problem der Fernidentitätsprüfung. Ihr Ansatz, PKI in einer Blockchain mit On-Chain-Speicher zu implementieren, erfordert zwar das Vorhandensein einer ausstellenden Zertifizierungsstelle, bietet jedoch viele Vorteile. Die Sperrprüfung wird für die lokale Kopie der Blockchain des Überprüfers durchgeführt, ohne dass CRLs oder OCSP erforderlich sind. Dieser Vorschlag löst ein seit langem bestehendes Problem herkömmlicher PKIs, indem kein Dienst erforderlich ist, der Zertifikatsperrlisten (CRLs) ausstellt oder auf OCSP-Anfragen (Online Certificate Status Protocol) antwortet.
  • PB-PKI: Eine datenschutzbewusste Blockchain-basierte PKI von Louise Axon und Michael Goldsmith, University of Oxford.
    Die Forscher argumentieren, dass bestehende Vorschläge nicht das Datenschutzbewusstsein bieten, das von PKI in bestimmten gegenwärtigen und aufkommenden Anwendungen gefordert wird. Ihre Forschung zielte darauf ab zu demonstrieren, wie eine Blockchain-basierte PKI konstruiert werden kann, um ein unterschiedliches Maß an Datenschutzbewusstsein bereitzustellen. Obwohl der Vorschlag eine vollständige Anonymität erreicht, ist dies mit einigen Sicherheitskosten verbunden: Netzwerkmitglieder können kurzfristig die öffentlichen Schlüssel anderer manipulieren. Die Sicherheit von PB-PKI kann verbessert werden, indem ein etwas geringeres Maß an Datenschutz durch die Bestätigung durch Nachbargruppen erreicht wird, die wichtige Änderungen bei Aktualisierungen überprüfen.

Fazit


Das Alter der von den Zertifizierungsstellen kontrollierten PKI geht zu Ende. Die sich entwickelnden Anforderungen von Unternehmen, ihre verbesserte Konnektivität und die erweiterten Fähigkeiten immer ausgefeilterer Angreifer haben den Übergang zu einer stabileren Alternative erforderlich gemacht. Diese Alternative liegt in der Blockchain, in der viele der grundlegenden Schwächen der traditionellen PKI nicht zutreffen. Blockchain ist kein Allheilmittel für die Sicherheit, aber im Kontext der PKI bietet die Verwendung einer dezentralen Umgebung überzeugende Vorteile.

Source: https://habr.com/ru/post/de473548/

More articles:


All Articles