Ez da sekretua sare irekietan datuen babesa ezinezkoa den tresna osagarrietako bat ziurtagiri digitalaren teknologia dela. Hala ere, ez da sekretua teknologiaren eragozpen nagusia ziurtagiri digitalak ematen dituzten zentroengan baldintzarik gabeko konfiantza dela. ENCRYko Teknologia eta Berrikuntzako zuzendariak Andrey Chmora-k antolatzeko ikuspegi berri bat proposatu zuen gako publikoko azpiegiturak (Gako Publikoko Azpiegitura, PKI), egungo gabeziak kentzen lagunduko duena eta liburu banatutako liburuak (blockchain) teknologia erabiltzen duena. Baina lehenik eta behin.
Zure egungo gako publikoaren azpiegiturak nola funtzionatzen duen ezagutzen baduzu eta horren funtsezko gabeziak ezagutzen badituzu, jarraian aldatzea proposatzen dizugunera joan zaitezke.
Zer dira sinadura digitalak eta ziurtagiriak?Interneten elkarrekintzak beti dakar datuen transferentzia. Denok dugu interesa datuak modu seguruan transmititzen direla ziurtatzeko. Baina zer da segurtasuna? Segurtasun-zerbitzurik eskatuenak konfidentzialtasuna, osotasuna eta benetakotasuna dira. Horretarako, kriptografia asimetrikoaren metodoak edo gako publikoa duen kriptografia erabiltzen dira gaur egun.
Has gaitezen metodo hauek erabiltzeko, elkarrekintzaren subjektuek bi gako parekatuta izan behar dituztela: publikoa eta sekretua. Haien laguntzarekin, goian aipatu ditugun segurtasun zerbitzuak eskaintzen dira.
Nola lortzen da informazio transferentziaren konfidentzialtasuna? Datuak bidali aurretik, harpidedunak bidaltzen dituen harpidedunak enkriptatzen ditu (kriptografikoki eraldatzen ditu) irekitako datuak hartzailearen gako publikoa erabiliz, eta hartzaileak jasotako zifra-testua deszifratzen du parekatuta dagoen gako sekretua erabiliz.
Nola lortzen da transmititutako informazioaren osotasuna eta benetakotasuna? Arazo hau konpontzeko, beste mekanismo bat sortu zen. Irekitako datuak ez dira enkriptatzen, baina hash kriptografikoaren funtzioa aplikatzearen emaitza -sarrerako datu-sekuentziaren irudi "konprimitua"- forma enkriptatuta transmititzen da. Hashing horren emaitzari "digestio" deitzen zaio eta harpidedun bidaltzailearen gako sekretua erabiliz zifratzen da ("lekukoa"). Digestioa zifratzearen ondorioz, sinadura digitala lortzen da. Testu argiarekin batera, harpidedun harpidedunari transmititzen zaio (βegiaztatzaileaβ). Sinadura digitala lekukoaren gako publikoan deszifratzen du eta hash funtzio kriptografiko bat aplikatzearen emaitzarekin konparatzen du, egiaztatzaileak modu independentean kalkulatzen duen jasotako datu irekietan oinarrituta. Bat badatoz, horrek adierazten du datuak forma autentiko eta oso batean transmititu dituela harpidedun igorleak, eta erasotzaile batek ez dituela aldatu.
Datu pertsonalekin eta ordainketa-informazioekin lan egiten duten baliabide gehienek (bankuak, aseguru-konpainiak, aire-konpainiak, ordainketa-sistemak, baita gobernu-atariak, hala nola zerga-zerbitzua), aktiboki erabiltzen dituzte kriptografia-metodo asimetrikoak.
Zer zerikusi du ziurtagiri digital batek? Sinplea da. Lehen zein bigarren prozesuek gako publikoak hartzen dituzte barne, eta zeregin nagusia betetzen dutenez, oso garrantzitsua da gakoak benetan igorlearenak (lekukoa, sinadura egiaztatzearen kasuan) edo hartzailearenak direla eta ez direla ziurtatzea. erasotzaileen giltzekin ordezkatuta. Horregatik daude ziurtagiri digitalak gako publikoaren benetakotasuna eta osotasuna bermatzeko.
Oharra: gako publikoaren benetakotasuna eta osotasuna datu publikoen benetakotasuna eta osotasuna bezala berresten dira, hau da, sinadura digital elektronikoa (EDS) erabiliz.
Nondik datoz ziurtagiri digitalak?Ziurtagiri-agintari fidagarriak edo ziurtagiri-agintaritzak (CA) arduratzen dira ziurtagiri digitalak emateaz eta mantentzeaz. Eskatzaileak ziurtagiria ematea eskatzen dio CAri, identifikazioa egiten dio Erregistro Zentroan (CR) eta CAren ziurtagiria jasotzen du. CAk bermatzen du ziurtagiriaren gako publikoa igorri zen entitatearena dela.
Gako publikoaren benetakotasuna berresten ez baduzu, erasotzaile batek gako hau transferitzen/biltegiratzen duen bitartean berea ordezkatu dezake. Ordezkapena gertatu bada, erasotzaileak harpidedun igorleak harpidedunari transmititzen dion guztia deszifratu ahal izango du, edo irekitako datuak bere borondatez aldatu.
Ziurtagiri digitalak kriptografia asimetrikoa erabilgarri dagoen guztietan erabiltzen dira. Ziurtagiri digital ohikoenetako bat HTTPS protokoloaren bidez komunikazio segururako SSL ziurtagiriak dira. Hainbat jurisdikziotan erregistratutako ehunka enpresek parte hartzen dute SSL ziurtagiriak igortzen. Kuota nagusia konfiantzazko bost-hamar zentro handitan dago: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.
CA eta CR PKIren osagaiak dira, hauek ere barne hartzen dituena:
- Ireki direktorioa β Ziurtagiri digitalen biltegiratze segurua eskaintzen duen datu-base publikoa.
- Ziurtagiriak ezeztatzeko zerrenda β Baliogabetutako gako publikoen ziurtagiri digitalen biltegiratze segurua eskaintzen duen datu-base publikoa (adibidez, parekatuta dagoen gako pribatua arriskuan dagoelako). Azpiegiturako subjektuek modu independentean atzi dezakete datu-base honetara, edo egiaztapen-prozesua errazten duen Lineako Ziurtagiriaren Egoeraren Protokoloa (OCSP) espezializatua erabil dezakete.
- Ziurtagiriaren erabiltzaileak β CArekin erabiltzaile-hitzarmen bat sinatu duten eta sinadura digitala edo/eta ziurtagiriaren gako publikoan oinarritutako datuak enkriptatzeko datuak egiaztatzen dituzten PKI subjektuei.
- Jarraitzaileak β Ziurtagiriaren gako publikoarekin parekatuta dagoen gako sekretu bat duten eta CArekin harpidedun-hitzarmen bat egin duten PKI subjektuei zerbitzatu diete. Harpideduna aldi berean izan daiteke ziurtagiriaren erabiltzailea.
Horrela, gako publikoko azpiegiturako entitate fidagarriak, CA, CR eta direktorio irekiak barne, hauek dira:
1. Eskatzailearen identitatearen benetakotasuna egiaztatzea.
2. Gako publikoaren ziurtagiriaren profila egitea.
3. Gako publikoaren ziurtagiria ematea, bere identitatea fidagarritasunez baieztatu duen eskatzailearentzat.
4. Aldatu gako publikoaren ziurtagiriaren egoera.
5. Gako publikoaren ziurtagiriaren egungo egoerari buruzko informazioa ematea.
PKIren desabantailak, zer dira?PKIren oinarrizko akatsa konfiantzazko entitateen presentzia da.
Erabiltzaileek baldintzarik gabe fidatu behar dute CA eta CR. Baina, praktikak erakusten duenez, baldintzarik gabeko konfiantzak ondorio larriak ditu.
Azken hamar urteotan, hainbat iskanbila handi gertatu dira arlo honetan azpiegituren ahultasunarekin lotuta.
β 2010ean, Stuxnet malwarea sarean zabaltzen hasi zen, RealTek eta JMicronen lapurtutako ziurtagiri digitalak erabiliz sinatuta.
- 2017an, Google-k Symantec-i leporatu zion ziurtagiri faltsu ugari igortzea. Garai hartan, Symantec CA handienetako bat zen ekoizpen-bolumenari dagokionez. Google Chrome 70 arakatzailean, enpresa honek eta bere afiliatutako GeoTrust eta Thawte zentroek emandako ziurtagirien laguntza 1ko abenduaren 2017a baino lehen gelditu zen.
CAk arriskuan jarri ziren, eta, ondorioz, denek pairatu zuten: CAk berak, baita erabiltzaileek eta harpideek ere. Azpiegiturekiko konfiantza gutxitu egin da. Gainera, ziurtagiri digitalak blokeatu daitezke gatazka politikoen testuinguruan, eta horrek baliabide askoren funtzionamenduan ere eragingo du. Hori da, hain zuzen ere, duela hainbat urte Errusiako presidentetza-administrazioan beldur zena, non 2016an RuNet-eko guneei SSL ziurtagiriak emango zizkien estatuko ziurtapen zentro bat sortzeko aukera eztabaidatu zuten. Gaur egungo egoera Errusiako estatu-atariak ere badira Comodo edo Thawte (Symantec-en filiala) enpresek igorritako ziurtagiri digitalak.
Bada beste arazo bat - galdera erabiltzaileen lehen autentifikazioa (autentifikazioa).. Nola identifikatu ziurtagiri digital bat igortzeko eskaerarekin CArekin harremanetan jarri den erabiltzailea zuzeneko harreman pertsonalik gabe? Orain hori egoeraz konpontzen da azpiegituraren gaitasunen arabera. Erregistro irekietatik zerbait hartzen da (adibidez, ziurtagiriak eskatzen dituzten pertsona juridikoei buruzko informazioa); eskatzaileak pertsona fisikoak diren kasuetan, banku-bulegoak edo posta-bulegoak erabil daitezke, non haien nortasuna egiaztatzen den identifikazio dokumentuak erabiliz, adibidez, pasaportea.
Kredentzialak faltsutzearen arazoa oinarrizkoa da nortasuna ordezkatzeko helburuarekin. Kontuan izan dezagun ez dagoela arazo honen konponbide osorik informazio-arrazoi teorikoengatik: a priori informazio fidagarria izan gabe, ezinezkoa da gai jakin baten benetakotasuna berrestea edo ukatzea. Oro har, egiaztatzeko beharrezkoa da eskatzailearen nortasuna egiaztatzen duen dokumentu-sorta aurkeztea. Egiaztapen-metodo asko daude, baina horietako inork ez du dokumentuen benetakotasunaren berme osoa eskaintzen. Horrenbestez, eskatzailearen identitatearen benetakotasuna ere ezin da bermatu.
Nola ezabatu daitezke gabezia horiek?PKIren egungo egoeran dauden arazoak zentralizazioaren bidez azal daitezke, orduan logikoa da deszentralizazioak identifikatutako gabeziak partzialki ezabatzen lagunduko lukeela pentsatzea.
Deszentralizazioak ez du esan nahi konfiantzazko entitateen presentzia - sortzen baduzu gako publikoaren azpiegitura deszentralizatua (Gako Publikoko Azpiegitura Deszentralizatua, DPKI), orduan ez dira ez CA ez CR behar. Utzi dezagun ziurtagiri digitalaren kontzeptua eta erabili erregistro banatu bat gako publikoei buruzko informazioa gordetzeko. Gure kasuan, erregistro bati blockchain teknologia erabiliz loturiko erregistro indibidualez (blokeez) osatutako datu-base lineala deitzen diogu. Ziurtagiri digitalaren ordez, "jakinarazpena" kontzeptua sartuko dugu.
Jakinarazpenak jasotzeko, egiaztatzeko eta bertan behera uzteko prozesua nolakoa izango den proposatutako DPKIn:
1. Eskatzaile bakoitzak jakinarazpen-eskaera bat aurkezten du modu independentean erregistratzean inprimaki bat betez, eta, ondoren, igerileku espezializatu batean gordetzen den transakzio bat sortzen du.
2. Gako publikoari buruzko informazioa, jabearen datuekin eta beste metadatuekin batera, banatutako erregistro batean gordetzen da, eta ez ziurtagiri digital batean, zeinaren jaulkipenaren PKI zentralizatuan CA arduratzen den.
3. Eskatzailearen benetakotasuna egiaztatzea DPKI erabiltzaileen komunitatearen ahalegin bateratuaren bidez egiten da, eta ez CRk.
4. Jakinarazpen horren jabeak bakarrik alda dezake gako publiko baten egoera.
5. Edonork sar dezake banatutako liburu-liburura eta gako publikoaren egungo egoera egiazta dezake.
Oharra: Baliteke eskatzaile baten identitatearen egiaztapenak fidagarria ez izatea lehen begiratuan. Baina gogoratu behar dugu gaur egun zerbitzu digitalen erabiltzaile guztiek aztarna digitala uzten dutela ezinbestean, eta prozesu honek indarra hartzen jarraituko duela. Pertsona juridikoen erregistro elektroniko irekiak, mapak, lur-irudien digitalizazioa, sare sozialak - horiek guztiak publikoki eskuragarri dauden tresnak dira. Dagoeneko arrakastaz erabiltzen dira bai kazetariek bai legea betearazteko agentziek egindako ikerketetan. Esaterako, nahikoa da Bellingcat-en edo JIT ikerketa talde bateratuaren ikerketak gogoratzea, Malaysiako Boeing-en istripuaren inguruabarrak aztertzen ari dena.
Beraz, nola funtzionatuko luke praktikan gako publiko deszentralizatutako azpiegitura batek? Gelditu gaitezen teknologiaren beraren deskribapenean, guk 2018an patentatua eta arrazoiz gure jakitea kontsideratzen dugu.
Imajinatu gako publiko askoren jabe den jabe bat dagoela, non gako bakoitza erregistroan gordetzen den transakzio jakin bat den. CArik ezean, nola ulertu giltza guztiak jabe zehatz honenak direla? Arazo hau konpontzeko, zero transakzio bat sortzen da, jabeari eta bere zorroari buruzko informazioa (hortik komisioa kobratzen da transakzioa erregistroan jartzeko). Transakzio nulua "aingura" moduko bat da, zeinari gako publikoei buruzko datuekin honako transakzio hauek erantsiko zaizkio. Horrelako transakzio bakoitzak datu-egitura espezializatu bat dauka, edo beste era batera esanda, jakinarazpen bat.
Jakinarazpena eremu funtzionalez osatutako datu-multzo egituratu bat da eta jabearen gako publikoari buruzko informazioa barne hartzen du, eta horien iraupena bermatzen da banatutako erregistroko erregistro elkartuetako batean kokatuz.
Hurrengo galdera logikoa zera da: nola eratzen da zero transakzio bat? Transakzio nulua -ondorengoak bezala- sei datu-eremuren agregazioa da. Zero transakzio bat eratzean, diru-zorroaren gako bikoteak parte hartzen du (gako sekretu publikoak eta parekatuak). Gako pare hori erabiltzaileak bere diru-zorroa erregistratzen duen momentuan agertzen da, eta bertatik komisioa kobratuko da erregistroan zero transakzio bat jartzeko eta, ondoren, jakinarazpenekin egindako eragiketak.
Irudian ikusten den bezala, zorroaren gako publikoen laburpena sortzen da SHA256 eta RIPEMD160 hash funtzioak sekuentzialki aplikatuz. Hemen RIPEMD160 datuen irudikapen trinkoaz arduratzen da, eta horien zabalera ez da 160 bit baino gehiagokoa. Hau garrantzitsua da erregistroa ez delako datu-base merkea. Gako publikoa bera bosgarren eremuan sartzen da. Lehenengo eremuak aurreko transakzioarekin konexioa ezartzen duten datuak ditu. Zero transakzio baterako, eremu honek ez dauka ezer, eta horrek ondorengo transakzioetatik bereizten du. Bigarren eremua transakzioen konektibitatea egiaztatzeko datuak dira. Laburtzeko, lehenengo eta bigarren eremuetako datuei "esteka" eta "egiaztatu" deituko diegu, hurrenez hurren. Eremu hauen edukia hashing iteratiboaren bidez sortzen da, beheko irudiko bigarren eta hirugarren transakzioak lotuz frogatzen den bezala.
Lehenengo bost eremuetako datuak sinadura elektroniko baten bidez ziurtatzen dira, zorroaren gako sekretua erabiliz sortzen dena.
Hori da, transakzio nulua igerilekura bidaltzen da eta egiaztapen arrakastatsuaren ondoren erregistroan sartzen da. Orain, honako transakzio hauek "lotu" ditzakezu. Azter dezagun nola eratzen diren zero ez diren transakzioak.
Seguruenik begia erakarri dizun lehen gauza gako bikoteen ugaritasuna da. Dagoeneko ezaguna den diru-zorroaren gako-pareaz gain, ohikoak eta zerbitzu-gako-pareak erabiltzen dira.
Gako publiko arrunta da dena zertarako hasi zen. Gako honek kanpo munduan garatzen diren hainbat prozedura eta prozesutan parte hartzen du (banku eta bestelako eragiketak, dokumentu-fluxua, etab.). Esaterako, bikote arrunt bateko gako sekretu bat erabil daiteke hainbat dokumenturen sinadura digitalak sortzeko -ordainketa-aginduak, etab.-, eta gako publiko bat erabil daiteke sinadura digital hori jarraibide hauek betetzean egiaztatzeko, baldin eta baliozkoa da.
Zerbitzu-bikotea erregistratutako DPKI subjektuari igortzen zaio. Bikote honen izena bere xedeari dagokio. Kontuan izan zero transakzio bat osatzen/egiaztatzean ez direla zerbitzu-gakoak erabiltzen.
Argi dezagun berriro gakoen helburua:
- Diru-zorroaren gakoak transakzio nulu bat eta nulua ez den beste edozein transakzio sortzeko/egiaztatzeko erabiltzen dira. Diru-zorro baten gako pribatua zorroaren jabeak bakarrik ezagutzen du, gako publiko arrunt askoren jabea baita.
- Gako publiko arrunta PKI zentralizatu batean ziurtagiria jaulkitzen den gako publikoaren antzekoa da.
- Zerbitzu-gako bikotea DPKIrena da. Gako sekretua erregistratutako entitateei ematen zaie eta transakzioetarako sinadura digitalak sortzerakoan erabiltzen da (zero transakzioetan izan ezik). Publikoa transakzio baten sinadura digital elektronikoa egiaztatzeko erabiltzen da erregistroan argitaratu aurretik.
Horrela, bi giltza talde daude. Lehenengoak zerbitzu-giltzak eta diru-zorroa biltzen ditu - DPKIren testuinguruan bakarrik dute zentzua. Bigarren taldeak gako arruntak biltzen ditu - haien esparrua alda daiteke eta erabiltzen diren aplikazio-zereginek zehazten dute. Aldi berean, DPKIk gako publiko arrunten osotasuna eta benetakotasuna bermatzen ditu.
Oharra: baliteke zerbitzu-gako bikotea DPKI entitate ezberdinek ezagutzea. Adibidez, denentzat berdina izan daiteke. Hori dela eta, zero ez den transakzio bakoitzaren sinadura sortzean, bi gako sekretu erabiltzen dira, horietako bat zorroaren gakoa da - zorroaren jabeak bakarrik ezagutzen du, hau da, ohiko askoren jabea baita. gako publikoak. Tekla guztiek dute bere esanahia. Esate baterako, beti froga daiteke transakzioa erregistratutako DPKI subjektu batek erregistroan sartu zuela, sinadura zerbitzu sekretu-gako batean ere sortu baitzen. Eta ezin da tratu txarrik egon, hala nola DOS erasoak, jabeak transakzio bakoitza ordaintzen duelako.
Zeroari jarraitzen dioten transakzio guztiak antzera eratzen dira: gako publikoa (ez zorroa, zero transakzioaren kasuan bezala, gako-pare arrunt batetik baizik) SHA256 eta RIPEMD160 bi hash funtzioen bidez exekutatzen da. Horrela eratzen dira hirugarren eremuko datuak. Laugarren eremuan informazio osagarria dago (adibidez, uneko egoerari buruzko informazioa, iraungitze-datak, denbora-zigilua, erabilitako kripto-algoritmoen identifikatzaileak, etab.). Bosgarren eremuak zerbitzu-gako bikotearen gako publikoa dauka. Bere laguntzarekin, sinadura digitala egiaztatuko da gero, beraz, errepikatu egingo da. Justifikatu dezagun halako planteamendu baten beharra.
Gogoratu transakzio bat pool batean sartzen dela eta bertan gordetzen dela prozesatu arte. Pool batean biltegiratzea arrisku jakin batekin lotzen da - transakzio datuak faltsutu daitezke. Jabeak transakzio datuak sinadura digital elektronikoarekin ziurtatzen ditu. Sinadura digital hori egiaztatzeko gako publikoa espresuki adierazten da transakzio-eremuetako batean eta, ondoren, erregistroan sartzen da. Transakzioen prozesamenduaren berezitasunak halakoak dira, erasotzaileak bere borondatez datuak alda ditzakeela eta, ondoren, bere gako sekretua erabiliz egiaztatzeko eta transakzioan sinadura digitala egiaztatzeko parekatuta dagoen gako publikoa adierazi. Egiazkotasuna eta osotasuna sinadura digitalaren bidez soilik bermatzen badira, faltsutze hori oharkabean geratuko da. Hala ere, sinadura digitalaz gain, gordetako informazioa artxibatzea eta iraunkortasuna bermatzen duen mekanismo gehigarri bat badago, faltsutzea detektatu daiteke. Horretarako, nahikoa da jabearen benetako gako publikoa erregistroan sartzea. Azal dezagun nola funtzionatzen duen.
Utzi erasotzaileak transakzio datuak faltsutzen. Gakoen eta sinadura digitalaren ikuspuntutik, aukera hauek izan daitezke:
1. Erasotzaileak bere gako publikoa jartzen du transakzioan, jabearen sinadura digitala aldatu gabe dagoen bitartean.
2. Erasotzaileak sinadura digitala sortzen du bere gako pribatuan, baina jabearen gako publikoa aldatu gabe uzten du.
3. Erasotzaileak sinadura digital bat sortzen du bere gako pribatuan eta parekatuta gako publiko bat jartzen du transakzioan.
Jakina, 1 eta 2 aukerak ez dute zentzurik, sinadura digitalaren egiaztapenean beti detektatuko baitira. 3. aukerak bakarrik du zentzua, eta erasotzaile batek bere gako sekretuarekin sinadura digitala osatzen badu, transakzioan parekatuta dagoen gako publiko bat gordetzera behartuta dago, jabearen gako publikotik desberdina. Hau da erasotzaile batek faltsututako datuak inposatzeko modu bakarra.
Demagun jabeak gako pare finko bat duela: pribatua eta publikoa. Utzi datuak sinadura digitalaren bidez ziurtatzea bikote honen gako sekretua erabiliz, eta transakzioan gako publikoa adierazten da. Demagun, gainera, gako publiko hau aldez aurretik erregistroan sartu dela eta bere benetakotasuna fidagarritasunez egiaztatu dela. Ondoren, faltsutze bat adieraziko da transakzioko gako publikoa ez datorrela bat erregistroko gako publikoarekin.
Laburbilduz. Jabearen lehen transakzio datuak prozesatzen direnean, beharrezkoa da erregistroan sartutako gako publikoaren benetakotasuna egiaztatzea. Horretarako, irakurri erregistroko gakoa eta konparatu segurtasun-perimetroko jabearen benetako gako publikoarekin (erlatiboki zaurgarritasun-eremua). Gakoaren benetakotasuna berresten bada eta kokatzean bere iraunkortasuna bermatzen bada, ondorengo transakzioko gakoaren benetakotasuna erraz berretsi/ezeztatu daiteke Erregistroko gakoarekin alderatuz. Beste era batera esanda, erregistroko gakoa erreferentzia-lagin gisa erabiltzen da. Gainerako jabearen transakzio guztiak antzera prozesatzen dira.
Transakzioa sinadura digital elektroniko baten bidez ziurtatzen da - hor behar dira gako sekretuak, eta ez bat, bi aldi berean - zerbitzu-gako bat eta diru-zorroa. Bi gako sekretu erabiltzeari esker, beharrezko segurtasun-maila bermatzen da - azken finean, zerbitzuaren gako sekretua beste erabiltzaileek ezagutu dezakete, eta zorroaren gako sekretua gako-bikote arruntaren jabeak bakarrik ezagutzen du. Halako bi teklako sinadurari sinadura digital "finkatua" deitu genion.
Nuluak ez diren transakzioen egiaztapena bi gako publiko erabiliz egiten da: diru-zorroa eta zerbitzu-gakoa. Egiaztapen-prozesua bi fase nagusitan bana daiteke: lehenengoa diru-zorroaren gako publikoaren laburpena egiaztatzea da, eta bigarrena transakzioaren sinadura digital elektronikoa egiaztatzea, bi gako sekretu erabiliz osatu zen kontsolidatu bera ( zorroa eta zerbitzua). Sinadura digitalaren baliozkotasuna berresten bada, egiaztapen gehigarriaren ondoren transakzioa erregistroan sartzen da.
Galdera logiko bat sor daiteke: nola egiaztatu transakzio bat "erroa" duen kate zehatz batekoa den zero transakzio moduan? Horretarako, egiaztapen-prozesua beste fase batekin osatzen da: konektibitatearen egiaztapena. Hor beharko ditugu lehen bi eremuetako datuak, orain arte baztertu ditugunak.
Imajina dezagun egiaztatu behar dugula 3. transakzioa benetan 2. transakzioaren ondoren datorren ala ez. Horretarako, hashing metodo konbinatua erabiliz, hash funtzioaren balioa kalkulatzen da 2. zenbakiko transakzioaren hirugarren, laugarren eta bosgarren eremuetako datuetarako. Ondoren, 3. zenbakiko transakzioko lehen eremuko datuen kateamendua eta 2. zenbakiko transakzioko hirugarren, laugarren eta bosgarren eremuetako datuetarako aldez aurretik lortutako hash funtzioaren balio konbinatua egiten dira. Hau guztia SHA256 eta RIPEMD160 bi hash funtzioen bidez ere exekutatzen da. Jasotako balioa 2. transakzioaren bigarren eremuko datuekin bat badator, egiaztapena gainditu eta konexioa berresten da. Hori argiago erakusten da beheko irudietan.
Orokorrean, jakinarazpen bat sortu eta erregistroan sartzeko teknologiak antzeko itxura du. Jakinarazpen-kate bat osatzeko prozesuaren irudi bisuala hurrengo irudian aurkezten da:
Testu honetan, ez gara dudarik gabe existitzen diren xehetasunetan luzatuko eta gako publiko deszentralizatuaren azpiegituraren ideia bera eztabaidatzera itzuliko gara.
Beraz, eskatzaileak berak jakinarazpenen erregistro-eskaera aurkezten duenez, CA datu-basean ez, erregistroan gordeta daudenez, DPKIren osagai arkitektoniko nagusiak kontuan hartu behar dira:
1. Baliozko jakinarazpenen erregistroa (RDN).
2. Ezeztatutako jakinarazpenen erregistroa (RON).
3. Etendako jakinarazpenen erregistroa (RPN).
Gako publikoei buruzko informazioa RDN/RON/RPN-n gordetzen da hash funtzioen balioen moduan. Aipatzekoa da, halaber, hauek erregistro desberdinak izan daitezkeela, edo kate desberdinak, edo baita kate bat ere erregistro bakar baten zati gisa, gako publiko arrunt baten egoerari buruzko informazioa (errebokatzea, etetea, etab.) sartzen denean. datu-egituraren laugarren eremua dagokion kode-balioaren moduan. DPKIren inplementazio arkitektonikoa egiteko aukera ezberdin asko daude, eta bata edo bestea aukeratzea hainbat faktoreren araberakoa da, adibidez, optimizazio irizpideak, besteak beste, gako publikoak gordetzeko epe luzeko memoriaren kostua, etab.
Beraz, DPKI konplexutasun arkitektonikoari dagokionez irtenbide zentralizatu baten parekoa izan daiteke, sinpleagoa ez bada.
Galdera nagusia geratzen da - Zein erregistro da egokia teknologia ezartzeko?
Erregistrorako baldintza nagusia edozein motatako transakzioak sortzeko gaitasuna da. Liburuaren adibiderik ezagunena Bitcoin sarea da. Baina goian deskribatutako teknologia ezartzerakoan, zenbait zailtasun sortzen dira: dagoen script-lengoaiaren mugak, datu multzo arbitrarioak prozesatzeko beharrezko mekanismoen falta, mota arbitrarioko transakzioak sortzeko metodoak eta askoz gehiago.
ENCRYn saiatu ginen goian adierazitako arazoak konpontzen eta erregistro bat garatu genuen, eta horrek, gure ustez, abantaila ugari ditu, hau da:
- Hainbat transakzio mota onartzen ditu: aktiboak trukatu ditzake (hau da, finantza-eragiketak egin ditzake) eta egitura arbitrarioko transakzioak sor ditzake.
- garatzaileek PrismLang programazio-lengoaia jabedunerako sarbidea dute, hainbat arazo teknologiko konpontzeko behar den malgutasuna eskaintzen duena,
- datu multzo arbitrarioak prozesatzeko mekanismo bat eskaintzen da.
Ikuspegi sinplifikatu bat hartzen badugu, ekintza sekuentzia hau gertatzen da:
- Eskatzaileak DPKIn erregistratzen du eta zorro digitala jasotzen du. Diru-zorroaren helbidea zorroaren gako publikoaren hash balioa da. Diru-zorroaren gako pribatua eskatzaileak bakarrik ezagutzen du.
- Erregistratutako subjektuari zerbitzu-gako sekreturako sarbidea ematen zaio.
- Subjektuak zero transakzio bat sortzen du eta sinadura digital batekin egiaztatzen du zorroaren gako sekretua erabiliz.
- Zero ez den transakzio bat sortzen bada, sinadura digital elektronikoaren bidez ziurtatzen da bi gako sekretu erabiliz: diru-zorroa eta zerbitzu bat.
- Subjektuak transakzio bat bidaltzen dio igerilekuari.
- ENCRY sareko nodoak igerilekuko transakzioa irakurtzen du eta sinadura digitala egiaztatzen du, baita transakzioaren konektibitatea ere.
- Sinadura digitala baliozkoa bada eta konexioa berresten bada, orduan transakzioa prestatzen du erregistroan sartzeko.
Hemen erregistroak datu-base banatu gisa funtzionatzen du, baliozko, bertan behera utzitako eta etendako jakinarazpenei buruzko informazioa gordetzen duena.
Noski, deszentralizazioa ez da panazea. Erabiltzaile nagusiaren autentifikazioaren oinarrizko arazoa ez da inon desagertzen: gaur egun eskatzailearen egiaztapena CRk egiten badu, orduan DPKIn egiaztapena komunitateko kideen esku uztea proposatzen da, eta finantza motibazioa erabiltzea jarduera suspertzeko. Kode irekiko egiaztapen-teknologia ezaguna da. Egiaztapen horren eraginkortasuna praktikan berretsi da. Gogora ditzagun berriro ere Bellingcat sareko argitalpenaren ospe handiko ikerketak.
Baina, oro har, honako argazki hau ateratzen da: DPKI aukera bat da, guztiak ez bada, PKI zentralizatuaren gabezia asko zuzentzeko.
Harpidetu gure Habrablog-era, gure ikerketa eta garapena aktiboki estaltzen jarraitzeko eta jarraitzeko asmoa dugu , ENCRY proiektuei buruzko beste berririk galdu nahi ez baduzu.
Iturria: www.habr.com