Dili kini sekreto nga ang usa sa kasagarang gigamit nga mga himan sa auxiliary, kung wala ang proteksyon sa datos sa mga bukas nga network imposible, mao ang teknolohiya sa digital nga sertipiko. Bisan pa, dili sekreto nga ang panguna nga disbentaha sa teknolohiya mao ang walay kondisyon nga pagsalig sa mga sentro nga nag-isyu sa mga digital nga sertipiko. Ang Direktor sa Teknolohiya ug Kabag-ohan sa ENCRY Andrey Chmora misugyot og bag-ong pamaagi sa pag-organisar publiko nga yawe nga imprastraktura (Public Key Infrastructure, PKI), nga makatabang sa pagwagtang sa kasamtangan nga mga kakulangan ug nga naggamit sa distributed ledger (blockchain) nga teknolohiya. Apan una sa tanan.
Kung pamilyar ka kung giunsa ang imong karon nga publiko nga yawe nga imprastraktura ug nahibal-an ang hinungdanon nga mga kakulangan, mahimo nimong laktawan kung unsa ang among gisugyot nga usbon sa ubos.
Unsa ang mga digital nga pirma ug sertipiko?Ang interaksyon sa Internet kanunay naglakip sa pagbalhin sa datos. Kitang tanan adunay interes sa pagsiguro nga ang data ipadala nga luwas. Apan unsa ang seguridad? Ang labing gipangita nga serbisyo sa seguridad mao ang kompidensyal, integridad ug kasaligan. Alang niini nga katuyoan, ang mga pamaagi sa asymmetric cryptography, o cryptography nga adunay usa ka publiko nga yawe, gigamit karon.
Magsugod kita sa kamatuoran nga aron magamit kini nga mga pamaagi, ang mga hilisgutan sa interaksyon kinahanglan adunay duha ka indibidwal nga gipares nga mga yawe - publiko ug sekreto. Uban sa ilang tabang, ang mga serbisyo sa seguridad nga among gihisgutan sa ibabaw gihatag.
Giunsa pagkab-ot ang pagkakompidensyal sa pagbalhin sa impormasyon? Sa wala pa ipadala ang datos, ang nagpadala nga subscriber nag-encrypt (cryptographically transforms) sa bukas nga datos gamit ang publiko nga yawe sa nakadawat, ug ang nakadawat nag-decrypt sa nadawat nga ciphertext gamit ang gipares nga sekreto nga yawe.
Giunsa pagkab-ot ang integridad ug pagkakasaligan sa gipasa nga impormasyon? Aron masulbad kini nga problema, laing mekanismo ang gihimo. Ang bukas nga datos wala ma-encrypt, apan ang resulta sa paggamit sa cryptographic hash function - usa ka "compressed" nga imahe sa input data sequence - gipasa sa encrypted nga porma. Ang resulta sa maong hashing gitawag nga "digest", ug kini gi-encrypt gamit ang sekreto nga yawe sa nagpadala nga subscriber ("ang saksi"). Ingon usa ka sangputanan sa pag-encrypt sa digest, nakuha ang usa ka digital nga pirma. Kini, uban sa tin-aw nga teksto, gipasa ngadto sa tigdawat nga subscriber (“verifier”). Iyang gi-decrypt ang digital signature sa public key sa testigo ug gitandi kini sa resulta sa paggamit sa cryptographic hash function, nga independente nga gikalkula sa verifier base sa nadawat nga open data. Kung sila magkatugma, kini nagpakita nga ang datos gipasa sa usa ka tinuod ug kompleto nga porma sa nagpadala nga subscriber, ug wala giusab sa usa ka tig-atake.
Kadaghanan sa mga kahinguhaan nga nagtrabaho sa personal nga datos ug impormasyon sa pagbayad (mga bangko, kompanya sa seguro, mga airline, sistema sa pagbayad, ingon man mga portal sa gobyerno sama sa serbisyo sa buhis) aktibong naggamit sa asymmetric cryptography nga mga pamaagi.
Unsa may kalabotan sa usa ka digital nga sertipiko? Yano ra. Ang una ug ikaduha nga mga proseso naglakip sa publiko nga mga yawe, ug tungod kay kini adunay usa ka importante nga papel, kini mao ang importante kaayo sa pagsiguro nga ang mga yawe tinuod nga iya sa nagpadala (ang saksi, sa kaso sa pirma verification) o ang nakadawat, ug dili. gipulihan sa mga yawe sa mga tig-atake. Kini ang hinungdan ngano nga adunay mga digital nga sertipiko aron masiguro ang pagkatinuod ug integridad sa yawe sa publiko.
Timan-i: ang katinuod ug integridad sa publikong yawe gipamatud-an sa samang paagi sa pagkatinuod ug integridad sa publikong datos, nga mao, gamit ang electronic digital signature (EDS).
Diin gikan ang mga digital nga sertipiko?Ang kasaligan nga mga awtoridad sa sertipikasyon, o Mga Awtoridad sa Sertipikasyon (CAs), ang responsable sa pag-isyu ug pagmentinar sa mga digital nga sertipiko. Ang aplikante mohangyo sa pag-isyu sa usa ka sertipiko gikan sa CA, moagi sa pag-ila sa Registration Center (CR) ug makadawat og sertipiko gikan sa CA. Ang CA naggarantiya nga ang publiko nga yawe gikan sa sertipiko iya gyud sa entidad diin kini gi-isyu.
Kung dili nimo kumpirmahon ang pagkatinuod sa publiko nga yawe, nan ang usa ka tig-atake sa panahon sa pagbalhin/pagtipig niini nga yawe mahimong mopuli niini sa iyaha. Kung ang pagpuli nahitabo, ang tig-atake makahimo sa pag-decrypt sa tanan nga gipadala sa nagpadala nga suskritor sa nakadawat nga suskritor, o pagbag-o sa bukas nga datos sa iyang kaugalingon nga pagkabuotan.
Ang mga digital nga sertipiko gigamit bisan asa ang asymmetric cryptography anaa. Usa sa labing kasagaran nga mga digital nga sertipiko mao ang mga sertipiko sa SSL alang sa luwas nga komunikasyon sa protocol sa HTTPS. Gatusan nga mga kompanya nga narehistro sa lainlaing mga hurisdiksyon ang nalambigit sa pag-isyu sa mga sertipiko sa SSL. Ang nag-unang bahin nahulog sa lima ngadto sa napulo ka dagkong gisaligan nga mga sentro: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.
Ang CA ug CR mga sangkap sa PKI, nga naglakip usab sa:
- Bukas nga direktoryo - usa ka publiko nga database nga naghatag luwas nga pagtipig sa mga digital nga sertipiko.
- Listahan sa pagbawi sa sertipiko – usa ka publikong database nga naghatag ug luwas nga pagtipig sa mga digital nga sertipiko sa gibawi nga mga yawe sa publiko (pananglitan, tungod sa pagkompromiso sa usa ka gipares nga pribadong yawe). Ang mga sakop sa imprastraktura mahimong independente nga maka-access niini nga database, o mahimo nilang gamiton ang espesyal nga Online Certification Status Protocol (OCSP), nga nagpasimple sa proseso sa pag-verify.
- Mga tiggamit sa sertipiko – nagserbisyo sa mga sakop sa PKI nga nakasulod sa usa ka user agreement uban sa CA ug nagpamatuod sa digital signature ug/o encrypt data base sa public key gikan sa certificate.
- Mga pasalig – nag-alagad sa mga sakop sa PKI nga nanag-iya sa sekretong yawe nga gipares sa publikong yawe gikan sa sertipiko, ug kinsa misulod sa usa ka subscriber agreement uban sa CA. Ang subscriber mahimong dungan nga usa ka tiggamit sa sertipiko.
Busa, ang mga kasaligang entidad sa publikong yawe nga imprastraktura, nga naglakip sa mga CA, CR ug bukas nga mga direktoryo, maoy responsable sa:
1. Pagpamatuod sa pagkatinuod sa pagkatawo sa aplikante.
2. Pag-profile sa public key certificate.
3. Pag-isyu ug public key certificate para sa usa ka aplikante kansang pagkatawo kasaligan nga nakumpirma.
4. Usba ang status sa public key certificate.
5. Paghatag og impormasyon mahitungod sa kasamtangan nga status sa public key certificate.
Mga disadvantages sa PKI, unsa man kini?Ang sukaranang depekto sa PKI mao ang presensya sa mga kasaligang entidad.
Ang mga tiggamit kinahanglan nga walay kondisyon nga mosalig sa CA ug CR. Apan, ingon sa gipakita sa praktis, ang walay kondisyon nga pagsalig puno sa seryoso nga mga sangputanan.
Sulod sa milabay nga napulo ka tuig, adunay daghang mga dagkong eskandalo sa kini nga lugar nga may kalabutan sa pagkahuyang sa imprastraktura.
— sa 2010, ang Stuxnet malware nagsugod sa pagkaylap online, gipirmahan gamit ang kinawat nga digital nga mga sertipiko gikan sa RealTek ug JMicron.
- Kaniadtong 2017, giakusahan sa Google ang Symantec nga nag-isyu sa daghang mga peke nga sertipiko. Niadtong panahona, ang Symantec usa sa pinakadako nga CA sa mga termino sa mga volume sa produksiyon. Sa browser sa Google Chrome 70, ang suporta alang sa mga sertipiko nga gi-isyu sa kini nga kompanya ug ang mga kauban nga sentro niini nga GeoTrust ug Thawte gipahunong sa wala pa ang Disyembre 1, 2017.
Ang mga CA nakompromiso, ug isip resulta ang tanan nag-antus—ang mga CA mismo, ingon man ang mga tiggamit ug mga subscriber. Nadaot ang pagsalig sa imprastraktura. Dugang pa, ang mga digital nga sertipiko mahimong ma-block sa konteksto sa mga panagbangi sa politika, nga makaapekto usab sa operasyon sa daghang mga kapanguhaan. Mao gyud kini ang gikahadlokan pipila ka tuig na ang milabay sa administrasyon sa presidente sa Russia, diin kaniadtong 2016 ilang gihisgutan ang posibilidad nga maghimo usa ka sentro sa sertipikasyon sa estado nga mag-isyu sa mga sertipiko sa SSL sa mga site sa RuNet. Ang karon nga kahimtang sa mga kalihokan mao nga bisan ang mga portal sa estado sa Russia digital nga mga sertipiko nga gi-isyu sa mga kompanyang Amerikano nga Comodo o Thawte (usa ka subsidiary sa Symantec).
Adunay laing problema - ang pangutana pangunang authentication (authentication) sa mga tiggamit. Giunsa pag-ila ang usa ka tiggamit nga nakontak sa CA nga adunay hangyo nga mag-isyu sa usa ka digital nga sertipiko nga wala direkta nga personal nga kontak? Karon kini masulbad sa sitwasyon depende sa kapabilidad sa imprastraktura. Adunay gikuha gikan sa bukas nga mga rehistro (pananglitan, impormasyon bahin sa legal nga mga entidad nga nangayo og mga sertipiko); sa mga kaso diin ang mga aplikante mga indibidwal, mga opisina sa bangko o mga post office mahimong magamit, diin ang ilang pagkatawo gikumpirma gamit ang mga dokumento sa pag-ila, pananglitan, usa ka pasaporte.
Ang problema sa pagpalsipikar sa mga kredensyal alang sa katuyoan sa pagsundog usa ka sukaranan. Atong timan-an nga walay bug-os nga solusyon niini nga problema tungod sa impormasyon-teoretikong mga rason: kon walay kasaligan nga impormasyon sa usa ka priori, imposible ang pagkumpirma o pagdumili sa pagkatinuod sa usa ka partikular nga hilisgutan. Ingon sa usa ka lagda, alang sa verification gikinahanglan ang pagpresentar sa usa ka hugpong sa mga dokumento nga nagpamatuod sa pagkatawo sa aplikante. Adunay daghang lain-laing mga pamaagi sa pag-verify, apan walay usa niini nga naghatag og bug-os nga garantiya sa pagkatinuod sa mga dokumento. Subay niini, dili usab masiguro ang pagkakasaligan sa identidad sa aplikante.
Sa unsang paagi mawagtang kining mga kakulian?Kung ang mga problema sa PKI sa iyang kasamtangang kahimtang mapasabot pinaagi sa sentralisasyon, nan makataronganon nga isipon nga ang desentralisasyon makatabang sa partial nga pagwagtang sa giila nga mga kakulangan.
Ang desentralisasyon wala magpasabot sa presensya sa kasaligan nga mga entidad - kung ikaw nagmugna desentralisado nga pangpublikong yawe nga imprastraktura (Desentralisado nga Public Key Infrastructure, DPKI), unya dili kinahanglan ang CA o CR. Atong biyaan ang konsepto sa usa ka digital nga sertipiko ug gamiton ang usa ka gipang-apod-apod nga rehistro aron sa pagtipig sa kasayuran bahin sa mga yawe sa publiko. Sa among kaso, gitawag namon ang usa ka rehistro nga usa ka linear database nga gilangkuban sa indibidwal nga mga rekord (mga bloke) nga nalambigit gamit ang teknolohiya nga blockchain. Imbis usa ka digital nga sertipiko, among ipaila ang konsepto sa "pahibalo".
Unsa ang hitsura sa proseso sa pagdawat, pag-verify ug pagkansela sa mga pahibalo sa gisugyot nga DPKI:
1. Ang matag aplikante nagsumite sa usa ka aplikasyon alang sa usa ka pahibalo nga independente pinaagi sa pagpuno sa usa ka porma sa panahon sa pagrehistro, pagkahuman naghimo siya usa ka transaksyon nga gitipigan sa usa ka espesyal nga pool.
2. Ang impormasyon mahitungod sa publikong yawe, uban sa mga detalye sa tag-iya ug uban pang metadata, gitipigan sa usa ka gipang-apod-apod nga rehistro, ug dili sa digital nga sertipiko, alang sa pag-isyu niini sa usa ka sentralisadong PKI ang CA ang responsable.
3. Ang pag-verify sa pagkatinuod sa identidad sa aplikante gihimo human sa kamatuoran pinaagi sa hiniusang paningkamot sa komunidad sa tiggamit sa DPKI, ug dili sa CR.
4. Ang tag-iya lamang sa maong pahibalo ang makausab sa kahimtang sa usa ka publikong yawe.
5. Bisan kinsa maka-access sa gipang-apod-apod nga ledger ug masusi ang kasamtangan nga kahimtang sa publikong yawe.
Mubo nga sulat: Ang pag-verify sa komunidad sa identidad sa usa ka aplikante ingon og dili kasaligan sa unang pagtan-aw. Apan kinahanglan natong hinumdoman nga karong panahona ang tanan nga tiggamit sa digital nga mga serbisyo dili kalikayan nga mobiya sa usa ka digital footprint, ug kini nga proseso magpadayon lamang sa pag-angkon sa momentum. Pag-abli sa mga elektronik nga rehistro sa mga ligal nga entidad, mga mapa, pag-digitize sa mga imahe sa yuta, mga social network - kining tanan magamit sa publiko nga mga himan. Malampuson na sila nga gigamit sa panahon sa mga imbestigasyon sa mga tigbalita ug mga ahensya nga nagpatuman sa balaod. Pananglitan, igo na ang paghinumdom sa mga imbestigasyon sa Bellingcat o sa hiniusang investigative team nga JIT, nga nagtuon sa mga kahimtang sa pagkahagsa sa Malaysian Boeing.
Busa sa unsang paagi ang usa ka desentralisado nga publikong yawe nga imprastraktura molihok sa praktis? Atong hisgotan ang paghulagway sa teknolohiya mismo, diin kita patente sa 2018 ug angay natong isipon kini nga atong kahibalo.
Hunahunaa nga adunay pipila nga tag-iya nga adunay daghang mga yawe sa publiko, diin ang matag yawe usa ka piho nga transaksyon nga gitipigan sa rehistro. Kung walay CA, unsaon nimo pagsabot nga ang tanan nga mga yawe iya niining partikular nga tag-iya? Aron masulbad kini nga problema, usa ka zero nga transaksyon ang gihimo, nga adunay sulud nga kasayuran bahin sa tag-iya ug ang iyang pitaka (nga gikan diin ang komisyon sa pagbutang sa transaksyon sa rehistro gi-debit). Ang null nga transaksyon usa ka matang sa "angkla" diin ang mosunod nga mga transaksyon nga adunay datos mahitungod sa publiko nga mga yawe ilakip. Ang matag ingon nga transaksyon adunay usa ka espesyal nga istruktura sa datos, o sa lain nga pagkasulti, usa ka pahibalo.
Ang pagpahibalo kay usa ka structured set sa data nga gilangkuban sa functional fields ug naglakip sa impormasyon mahitungod sa public key sa tag-iya, ang pagpadayon niini gigarantiyahan pinaagi sa pagbutang sa usa sa mga kaubang rekord sa gipang-apod-apod nga rehistro.
Ang sunod nga lohikal nga pangutana mao kung giunsa ang usa ka zero nga transaksyon naporma? Ang null nga transaksyon—sama sa sunod nga mga transaksyon—usa ka aggregation sa unom ka data fields. Atol sa pagporma sa usa ka zero nga transaksyon, ang yawe nga pares sa pitaka nalangkit (publiko ug gipares nga sekreto nga mga yawe). Kini nga pares sa mga yawe makita sa higayon nga ang tiggamit nagparehistro sa iyang pitaka, diin ang komisyon alang sa pagbutang sa usa ka zero nga transaksyon sa rehistro ug, pagkahuman, ang mga operasyon nga adunay mga pahibalo ma-debit.
Sama sa gipakita sa numero, ang usa ka pitaka sa publiko nga yawe digest namugna pinaagi sa sunud-sunod nga paggamit sa SHA256 ug RIPEMD160 hash functions. Dinhi ang RIPEMD160 maoy responsable sa compact representation sa data, ang gilapdon niini dili molapas sa 160 bits. Importante kini tungod kay ang rehistro dili usa ka barato nga database. Ang publiko nga yawe mismo gisulod sa ikalima nga uma. Ang unang field naglangkob sa datos nga nagtukod og koneksyon sa miaging transaksyon. Alang sa usa ka zero nga transaksyon, kini nga field wala'y sulod, nga nagpalahi niini gikan sa sunod nga mga transaksyon. Ang ikaduha nga natad mao ang datos alang sa pagsusi sa koneksyon sa mga transaksyon. Para sa mubu, tawgon nato ang datos sa una ug ikaduhang field nga "link" ug "check", matag usa. Ang mga sulod niini nga mga natad gimugna pinaagi sa iterative hashing, ingon sa gipakita pinaagi sa pag-link sa ikaduha ug ikatulo nga mga transaksyon sa numero sa ubos.
Ang datos gikan sa unang lima ka mga natad gipamatud-an sa usa ka electronic nga pirma, nga gihimo gamit ang sekreto nga yawe sa pitaka.
Mao ra kana, ang null nga transaksyon gipadala sa pool ug pagkahuman sa malampuson nga pag-verify gisulod sa rehistro. Karon mahimo nimong "i-link" ang mosunod nga mga transaksyon niini. Atong tagdon kung giunsa ang mga transaksyon gawas sa zero naporma.
Ang unang butang nga tingali nakadani sa imong mata mao ang kadagaya sa yawe nga mga pares. Gawas pa sa pamilyar na nga pares nga yawe sa pitaka, gigamit ang ordinaryo ug serbisyo nga mga pares nga yawe.
Usa ka ordinaryo nga yawe sa publiko mao ang hinungdan sa tanan. Kini nga yawe nalangkit sa lain-laing mga pamaagi ug mga proseso nga nagbuklad sa gawas nga kalibutan (banking ug uban pang mga transaksyon, dagan sa dokumento, ug uban pa). Pananglitan, ang usa ka sekreto nga yawe gikan sa usa ka ordinaryo nga pares mahimong magamit aron makamugna og mga digital nga pirma alang sa lainlaing mga dokumento - mga order sa pagbayad, ug uban pa, ug ang usa ka publiko nga yawe mahimong magamit aron mapamatud-an kini nga digital nga pirma sa sunod nga pagpatuman niini nga mga panudlo, basta kini balido.
Ang pares sa serbisyo gihatag sa rehistradong DPKI nga subject. Ang ngalan niini nga pares katumbas sa katuyoan niini. Timan-i nga kung nagporma / nagsusi sa usa ka zero nga transaksyon, ang mga yawe sa serbisyo wala gigamit.
Atong klarohon pag-usab ang katuyoan sa mga yawe:
- Ang mga yawe sa pitaka gigamit sa paghimo/pagmatuod sa null nga transaksyon ug sa bisan unsang dili null nga transaksyon. Ang pribado nga yawe sa usa ka pitaka nahibal-an lamang sa tag-iya sa pitaka, kinsa mao usab ang tag-iya sa daghang ordinaryo nga mga yawe sa publiko.
- Ang usa ka ordinaryo nga yawe sa publiko parehas sa katuyoan sa usa ka yawe sa publiko diin ang usa ka sertipiko gihatag sa usa ka sentralisado nga PKI.
- Ang service key pares iya sa DPKI. Ang sekreto nga yawe gi-isyu sa mga rehistradong entidad ug gigamit sa paghimo og digital nga mga pirma alang sa mga transaksyon (gawas sa zero nga mga transaksyon). Ang publiko gigamit sa pag-verify sa electronic digital signature sa usa ka transaksyon sa dili pa kini i-post sa rehistro.
Busa, adunay duha ka grupo sa mga yawe. Ang una naglakip sa mga yawe sa serbisyo ug mga yawe sa pitaka - kini adunay kahulugan lamang sa konteksto sa DPKI. Ang ikaduha nga grupo naglakip sa ordinaryo nga mga yawe - ang ilang sakup mahimong magkalainlain ug gitino sa mga buluhaton sa aplikasyon diin kini gigamit. Sa samang higayon, gisiguro sa DPKI ang integridad ug katinuod sa ordinaryo nga mga yawe sa publiko.
Mubo nga sulat: Ang pares nga yawe sa serbisyo mahimong nahibal-an sa lainlaing mga entidad sa DPKI. Pananglitan, kini mahimong pareho alang sa tanan. Mao kini ang hinungdan nga sa paghimo sa pirma sa matag non-zero nga transaksyon, duha ka sekreto nga mga yawe ang gigamit, usa niini ang yawe sa pitaka - nahibal-an lamang kini sa tag-iya sa pitaka, kinsa mao usab ang tag-iya sa daghang ordinaryo. publiko nga mga yawe. Ang tanang yawe adunay kaugalingong kahulogan. Pananglitan, kanunay nga posible nga pamatud-an nga ang transaksyon gisulod sa rehistro sa usa ka rehistradong DPKI nga hilisgutan, tungod kay ang pirma nahimo usab sa usa ka sekreto nga yawe sa serbisyo. Ug walay mahimong pag-abuso, sama sa pag-atake sa DOS, tungod kay ang tag-iya nagbayad sa matag transaksyon.
Ang tanan nga mga transaksyon nga nagsunod sa zero one naporma sa parehas nga paagi: ang publiko nga yawe (dili ang pitaka, sama sa kaso sa zero nga transaksyon, apan gikan sa usa ka ordinaryo nga pares nga yawe) gipadagan pinaagi sa duha nga hash function SHA256 ug RIPEMD160. Ingon niini ang pagkaporma sa datos sa ikatulo nga natad. Ang ikaupat nga field naglangkob sa nag-uban nga impormasyon (pananglitan, impormasyon mahitungod sa kasamtangan nga status, expiration date, timestamp, identifiers sa crypto-algorithms nga gigamit, ug uban pa). Ang ikalimang field naglangkob sa public key gikan sa service key pares. Uban sa tabang niini, ang digital nga pirma masusi unya, aron kini masundog. Atong hatagan og katarungan ang panginahanglan alang sa ingon nga pamaagi.
Hinumdomi nga ang usa ka transaksyon gisulod sa usa ka pool ug gitipigan didto hangtod kini maproseso. Ang pagtipig sa usa ka pool adunay kalabotan sa usa ka piho nga peligro - ang datos sa transaksyon mahimong mapeke. Ang tag-iya nagpamatuod sa datos sa transaksyon gamit ang electronic digital signature. Ang publiko nga yawe alang sa pagmatuod niini nga digital nga pirma klaro nga gipakita sa usa sa mga natad sa transaksyon ug pagkahuman gisulod sa rehistro. Ang mga peculiarities sa pagproseso sa transaksyon mao nga ang usa ka tig-atake makahimo sa pag-usab sa datos sa iyang kaugalingon nga pagkabuotan ug dayon pamatud-an kini gamit ang iyang sekreto nga yawe, ug nagpakita sa usa ka gipares nga publiko nga yawe alang sa pag-verify sa digital nga pirma sa transaksyon. Kung ang pagkakasaligan ug integridad gisiguro nga eksklusibo pinaagi sa digital nga pirma, nan ang ingon nga palsipikado dili mamatikdan. Bisan pa, kung, dugang sa digital nga pirma, adunay usa ka dugang nga mekanismo nga nagsiguro sa pag-archive ug pagpadayon sa gitipig nga kasayuran, nan ang peke mahimong makit-an. Aron mahimo kini, igo na ang pagsulod sa tinuod nga yawe sa publiko sa tag-iya sa rehistro. Atong isaysay kon sa unsang paagi kini molihok.
Tugoti ang tig-atake nga maghimo ug datos sa transaksyon. Gikan sa punto sa panglantaw sa mga yawe ug digital nga mga pirma, posible ang mosunod nga mga kapilian:
1. Ang tig-atake nagbutang sa iyang publikong yawe sa transaksyon samtang ang digital nga pirma sa tag-iya nagpabilin nga wala mausab.
2. Ang tig-atake nagmugna ug digital nga pirma sa iyang pribadong yawe, apan gibiyaan ang publikong yawe sa tag-iya nga wala mausab.
3. Ang tig-atake naghimo ug digital nga pirma sa iyang pribadong yawe ug nagbutang ug gipares nga publikong yawe sa transaksyon.
Dayag nga, ang mga kapilian 1 ug 2 walay kahulogan, tungod kay kini kanunay nga makit-an sa panahon sa pag-verify sa digital nga pirma. Ang kapilian 3 ra ang makatarunganon, ug kung ang usa ka tig-atake maghimo usa ka digital nga pirma sa iyang kaugalingon nga sekreto nga yawe, nan mapugos siya sa pagtipig sa usa ka gipares nga yawe sa publiko sa transaksyon, lahi sa yawe sa publiko sa tag-iya. Mao kini ang bugtong paagi alang sa usa ka tig-atake nga magpahamtang ug peke nga datos.
Ibutang ta nga ang tag-iya adunay usa ka piho nga parisan sa mga yawe - pribado ug publiko. Himoa nga ang datos mapamatud-an pinaagi sa digital nga pirma gamit ang sekreto nga yawe gikan niini nga pares, ug ang publiko nga yawe gipakita sa transaksyon. Ibutang usab nato nga kining publikong yawe nasulod na sa rehistro ug ang katinuod niini napamatud-an nga kasaligan. Unya ang usa ka palsipikado nga ipakita sa kamatuoran nga ang publiko nga yawe gikan sa transaksyon dili katumbas sa publiko nga yawe gikan sa rehistro.
I-summarize. Kung giproseso ang una nga datos sa transaksyon sa tag-iya, kinahanglan nga pamatud-an ang pagkakasaligan sa yawe sa publiko nga gisulod sa rehistro. Aron mahimo kini, basaha ang yawe gikan sa rehistro ug itandi kini sa tinuod nga yawe sa publiko sa tag-iya sa sulod sa perimeter sa seguridad (lugar nga adunay paryente nga pagkadili madutlan). Kung ang pagkakasaligan sa yawe gipamatud-an ug ang pagpadayon niini gigarantiyahan sa pagbutang, nan ang pagkakasaligan sa yawe gikan sa sunod nga transaksyon dali nga makumpirma / mapanghimakak pinaagi sa pagtandi niini sa yawe gikan sa rehistro. Sa laing pagkasulti, ang yawe gikan sa rehistro gigamit ingon usa ka sampol nga pakisayran. Ang tanan nga ubang mga transaksyon sa tag-iya giproseso nga parehas.
Ang transaksyon gipamatud-an sa usa ka elektronik nga digital nga pirma - dinhi kinahanglan ang sekreto nga mga yawe, ug dili usa, apan duha nga dungan - usa ka yawe sa serbisyo ug usa ka yawe sa pitaka. Salamat sa paggamit sa duha ka sekreto nga mga yawe, ang gikinahanglan nga lebel sa seguridad gisiguro - human sa tanan, ang serbisyo nga sekreto nga yawe mahimong mahibal-an sa ubang mga tiggamit, samtang ang sekreto nga yawe sa pitaka nahibal-an lamang sa tag-iya sa ordinaryo nga pares nga yawe. Gitawag namo ang ingon nga duha ka yawe nga pirma nga usa ka "consolidated" nga digital nga pirma.
Ang pag-verify sa dili null nga mga transaksyon gihimo gamit ang duha ka publikong yawe: ang pitaka ug ang yawe sa serbisyo. Ang proseso sa pag-verify mahimong bahinon sa duha ka punoan nga mga yugto: ang una mao ang pagsusi sa digest sa publiko nga yawe sa pitaka, ug ang ikaduha mao ang pagsusi sa electronic digital nga pirma sa transaksyon, ang parehas nga gihiusa nga naporma gamit ang duha nga sekreto nga mga yawe ( pitaka ug serbisyo). Kung ang balido sa digital nga pirma gikumpirma, unya pagkahuman sa dugang nga pag-verify ang transaksyon gisulod sa rehistro.
Mahimong motungha ang usa ka lohikal nga pangutana: kung giunsa pagsusi kung ang usa ka transaksyon nahisakop sa usa ka piho nga kadena nga adunay "gamut" sa porma sa usa ka zero nga transaksyon? Alang niini nga katuyoan, ang proseso sa pag-verify gidugangan sa usa pa ka yugto - pagsusi sa koneksyon. Dinhi kinahanglan namon ang datos gikan sa una nga duha nga mga natad, nga hangtod karon wala namon panumbalinga.
Hunahunaa nga kinahanglan naton susihon kung ang transaksyon No. 3 ba gyud pagkahuman sa transaksyon No. 2. Aron mahimo kini, gamit ang hiniusa nga pamaagi sa hashing, ang kantidad sa hash function gikalkulo alang sa datos gikan sa ikatulo, ikaupat ug ikalima nga natad sa transaksyon No. Dayon ang concatenation sa data gikan sa unang natad sa transaksyon No. 2 ug ang nakuha kaniadto nga hiniusa nga hash function value alang sa datos gikan sa ikatulo, ikaupat ug ikalima nga natad sa transaksyon No. 3 ang gihimo. Kining tanan gipadagan usab pinaagi sa duha ka hash function SHA2 ug RIPEMD256. Kung ang nadawat nga kantidad katumbas sa datos sa ikaduhang natad sa transaksyon No. 160, nan ang tseke gipasa ug ang koneksyon gikumpirma. Gipakita kini nga mas klaro sa mga numero sa ubos.
Sa kinatibuk-an nga termino, ang teknolohiya alang sa pagmugna ug pagsulod sa usa ka pahibalo sa rehistro ingon gyud niini. Ang usa ka biswal nga ilustrasyon sa proseso sa pagporma sa usa ka kadena sa mga pahibalo gipresentar sa mosunod nga numero:
Niini nga teksto, dili kita maghisgot sa mga detalye, nga sa walay duhaduha anaa, ug mobalik sa paghisgot sa mismong ideya sa usa ka desentralisado nga publikong yawe nga imprastraktura.
Mao nga, tungod kay ang aplikante mismo nagsumite usa ka aplikasyon alang sa pagrehistro sa mga pahibalo, nga gitipigan dili sa database sa CA, apan sa rehistro, kinahanglan nga tagdon ang mga nag-unang sangkap sa arkitektura sa DPKI:
1. Pagrehistro sa balido nga mga pahibalo (RDN).
2. Register of revoked notifications (RON).
3. Pagrehistro sa gisuspinde nga mga pahibalo (RPN).
Ang impormasyon bahin sa publikong mga yawe gitipigan sa RDN/RON/RPN sa porma sa hash function values. Angay usab nga hinumdoman nga kini mahimong lainlain nga mga rehistro, o lainlaing mga kadena, o bisan usa ka kadena isip bahin sa usa ka rehistro, kung ang kasayuran bahin sa kahimtang sa usa ka ordinaryo nga yawe sa publiko (pagbakwi, pagsuspinde, ug uban pa) gisulod sa ikaupat nga natad sa istruktura sa datos sa porma sa katumbas nga kantidad sa code. Adunay daghang lainlaing mga kapilian alang sa pagpatuman sa arkitektura sa DPKI, ug ang pagpili sa usa o sa lain nagdepende sa daghang mga hinungdan, pananglitan, ang ingon nga pamatasan sa pag-optimize sama sa gasto sa dugay nga panumduman alang sa pagtipig sa mga yawe sa publiko, ug uban pa.
Sa ingon, ang DPKI mahimong mahimong, kung dili mas simple, nan labing menos ikatandi sa usa ka sentralisadong solusyon sa termino sa pagkakomplikado sa arkitektura.
Ang panguna nga pangutana nagpabilin - Unsang rehistro ang angay alang sa pagpatuman sa teknolohiya?
Ang nag-unang kinahanglanon alang sa rehistro mao ang abilidad sa pagmugna og mga transaksyon sa bisan unsang matang. Ang labing inila nga pananglitan sa usa ka ledger mao ang network sa Bitcoin. Apan kung ipatuman ang teknolohiya nga gihulagway sa ibabaw, adunay pipila nga mga kalisud nga motumaw: ang mga limitasyon sa naglungtad nga sinultian nga script, ang kakulang sa kinahanglan nga mga mekanismo alang sa pagproseso sa mga arbitraryong set sa datos, mga pamaagi sa pagmugna sa mga transaksyon sa usa ka arbitraryong tipo, ug daghan pa.
Kami sa ENCRY misulay sa pagsulbad sa mga problema nga giporma sa ibabaw ug nagpalambo sa usa ka rehistro, nga, sa among opinyon, adunay daghang mga bentaha, nga mao:
- nagsuporta sa pipila ka mga matang sa mga transaksyon: kini mahimo nga magbaylo sa mga kabtangan (nga mao, paghimo sa pinansyal nga mga transaksyon) ug paghimo sa mga transaksyon nga adunay usa ka arbitraryong istruktura,
- Ang mga developer adunay access sa proprietary programming language nga PrismLang, nga naghatag sa gikinahanglan nga pagka-flexible sa pagsulbad sa nagkalain-laing mga problema sa teknolohiya,
- usa ka mekanismo alang sa pagproseso sa arbitraryong mga set sa datos gihatag.
Kung maghimo kita og usa ka gipayano nga pamaagi, ang mosunod nga han-ay sa mga aksyon mahitabo:
- Ang aplikante magparehistro sa DPKI ug makadawat og digital wallet. Ang adres sa pitaka mao ang hash nga kantidad sa publikong yawe sa pitaka. Ang pribadong yawe sa pitaka nahibal-an lamang sa aplikante.
- Ang narehistro nga subject gihatagan og access sa service secret key.
- Ang hilisgutan nagmugna og usa ka zero nga transaksyon ug gipamatud-an kini sa usa ka digital nga pirma gamit ang sekreto nga yawe sa pitaka.
- Kung ang usa ka transaksyon gawas sa zero naporma, kini gipamatud-an sa usa ka electronic digital nga pirma gamit ang duha ka sekreto nga mga yawe: usa ka pitaka ug usa ka serbisyo.
- Ang hilisgutan nagsumite sa usa ka transaksyon sa pool.
- Ang ENCRY network node nagbasa sa transaksyon gikan sa pool ug nagsusi sa digital signature, ingon man ang koneksyon sa transaksyon.
- Kung ang digital nga pirma balido ug ang koneksyon nakumpirma, nan kini nag-andam sa transaksyon alang sa pagsulod sa rehistro.
Dinhi ang rehistro naglihok isip usa ka gipang-apod-apod nga database nga nagtipig sa impormasyon mahitungod sa balido, gikansela ug gisuspinde nga mga pahibalo.
Siyempre, ang desentralisasyon dili usa ka panacea. Ang sukaranang problema sa pangunang user authentication dili mawala bisan asa: kung sa pagkakaron ang verification sa aplikante gihimo sa CR, nan sa DPKI gisugyot nga itugyan ang verification ngadto sa mga miyembro sa komunidad, ug gamiton ang pinansyal nga panukmod sa pagdasig sa kalihokan. Ang teknolohiya sa pag-verify sa bukas nga gigikanan nahibal-an. Ang pagka-epektibo sa maong pag-verify napamatud-an sa praktis. Atong hinumdoman pag-usab ang daghang mga high-profile nga imbestigasyon sa online nga publikasyon nga Bellingcat.
Apan sa kinatibuk-an, mitumaw ang mosunod nga hulagway: Ang DPKI usa ka oportunidad sa pagtul-id, kung dili man ang tanan, unya daghan sa mga kakulangan sa sentralisadong PKI.
Mag-subscribe sa among Habrablog, nagplano kami nga magpadayon sa aktibong pagtabon sa among panukiduki ug kalamboan, ug sundon , kung dili nimo gusto nga makalimtan ang ubang mga balita bahin sa mga proyekto sa ENCRY.
Source: www.habr.com