Жасыратыны жоқ, ашық желілерде деректерді қорғау онсыз мүмкін емес кең таралған көмекші құралдардың бірі цифрлық сертификат технологиясы болып табылады. Дегенмен, технологияның басты кемшілігі цифрлық сертификаттар беретін орталықтарға сөзсіз сену екені жасырын емес. ENCRY компаниясының технологиялар және инновациялар жөніндегі директоры Андрей Чмора ұйымдастырудың жаңа тәсілін ұсынды ашық кілттер инфрақұрылымы (Ашық кілттік инфрақұрылым, PKI), ол ағымдағы кемшіліктерді жоюға көмектеседі және бөлінген кітап (блокчейн) технологиясын пайдаланады. Бірақ бірінші нәрсе.
Ағымдағы ашық кілт инфрақұрылымы қалай жұмыс істейтінімен таныс болсаңыз және оның негізгі кемшіліктерін білсеңіз, төменде өзгертуді ұсынып отырған жайтқа өтіп кетуіңізге болады.
Электрондық цифрлық қолтаңбалар мен сертификаттар дегеніміз не?Интернеттегі өзара әрекеттесу әрқашан деректерді беруді қамтиды. Барлығымыз деректердің қауіпсіз тасымалдануын қамтамасыз етуге мүдделіміз. Бірақ қауіпсіздік дегеніміз не? Ең көп сұранысқа ие қауіпсіздік қызметтері - құпиялылық, тұтастық және түпнұсқалық. Осы мақсатта қазіргі кезде асимметриялық криптография немесе ашық кілті бар криптография әдістері қолданылады.
Осы әдістерді қолдану үшін өзара әрекеттесу субъектілерінің екі жеке жұптастырылған кілттері – ашық және құпия болуы керек екендігінен бастайық. Олардың көмегімен жоғарыда біз айтқан қауіпсіздік қызметтері көрсетіледі.
Ақпаратты берудің құпиялылығына қалай қол жеткізіледі? Мәліметтерді жіберу алдында жіберуші абонент алушының ашық кілтінің көмегімен ашық деректерді шифрлайды (криптографиялық түрлендіреді), ал алушы жұптастырылған құпия кілттің көмегімен қабылданған шифрлық мәтінді шешеді.
Берілген ақпараттың тұтастығы мен шынайылығына қалай қол жеткізіледі? Бұл мәселені шешу үшін тағы бір механизм жасалды. Ашық деректер шифрланбайды, бірақ криптографиялық хэш функциясын қолдану нәтижесі – кіріс деректер тізбегінің «қысылған» кескіні шифрланған түрде беріледі. Мұндай хэштеу нәтижесі «дайджест» деп аталады және ол жіберуші абоненттің («куәгер») құпия кілті арқылы шифрланады. Дайджестті шифрлау нәтижесінде электрондық цифрлық қолтаңба алынады. Ол анық мәтінмен бірге алушы абонентке («тексеруші») беріледі. Ол куәгердің ашық кілтіндегі ЭЦҚ шифрын шешеді және оны тексеруші алынған ашық деректер негізінде дербес есептейтін криптографиялық хэш функциясын қолдану нәтижесімен салыстырады. Егер олар сәйкес келсе, бұл деректер жіберуші жазылушымен түпнұсқа және толық пішінде жіберілгенін және шабуылдаушы өзгертпегенін көрсетеді.
Жеке деректермен және төлем ақпаратымен жұмыс істейтін ресурстардың көпшілігі (банктер, сақтандыру компаниялары, авиакомпаниялар, төлем жүйелері, сондай-ақ салық қызметі сияқты мемлекеттік порталдар) ассиметриялық криптография әдістерін белсенді түрде пайдаланады.
Цифрлық сертификаттың оған қандай қатысы бар? Бәрі оңай. Бірінші және екінші процестердің екеуі де ашық кілттерді қамтиды және олар орталық рөл атқаратындықтан, кілттердің шын мәнінде жіберушіге (қолтаңбаны тексеру жағдайында куәгерге) немесе алушыға тиесілі екеніне көз жеткізу өте маңызды. шабуылдаушылардың кілттерімен ауыстырылды. Сондықтан ашық кілттің түпнұсқалығы мен тұтастығын қамтамасыз ету үшін цифрлық сертификаттар бар.
Ескерту: ашық кілттің түпнұсқалығы мен тұтастығы ашық деректердің түпнұсқалығы мен тұтастығы сияқты, яғни электрондық цифрлық қолтаңбаны (ЭЦҚ) пайдалану арқылы расталады.
Цифрлық сертификаттар қайдан келеді?Сенімді сертификаттау органдары немесе сертификаттау орталықтары (CA) цифрлық сертификаттарды шығаруға және сақтауға жауапты. Өтініш беруші СА-дан анықтама беруді сұрайды, Тіркеу орталығында (ТР) сәйкестендіруден өтеді және СА-дан анықтама алады. CA сертификаттағы ашық кілттің ол берілген ұйымға тиесілі екеніне кепілдік береді.
Егер сіз ашық кілттің түпнұсқалығын растамасаңыз, онда осы кілтті тасымалдау/сақтау кезінде шабуылдаушы оны өзінің кілтімен ауыстыра алады. Егер ауыстыру орын алған болса, шабуылдаушы жіберуші абонент қабылдаушы абонентке жібергеннің барлығын шифрын шеше алады немесе ашық деректерді өз қалауы бойынша өзгерте алады.
Сандық сертификаттар асимметриялық криптография бар жерде қолданылады. Ең көп таралған сандық сертификаттардың бірі HTTPS протоколы арқылы қауіпсіз байланысқа арналған SSL сертификаттары болып табылады. SSL сертификаттарын шығаруға әртүрлі юрисдикцияларда тіркелген жүздеген компаниялар қатысады. Негізгі үлес бес-он ірі сенімді орталықтарға тиесілі: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.
CA және CR PKI құрамдастары болып табылады, оған сонымен қатар мыналар кіреді:
- Ашық каталог – цифрлық сертификаттарды қауіпсіз сақтауды қамтамасыз ететін жалпыға қолжетімді деректер базасы.
- Сертификаттың күшін жою тізімі – қайтарып алынған ашық кілттердің цифрлық сертификаттарын қауіпсіз сақтауды қамтамасыз ететін жалпыға қолжетімді деректер базасы (мысалы, жұптастырылған жабық кілттің бұзылуына байланысты). Инфрақұрылым субъектілері бұл дерекқорға өз бетінше қол жеткізе алады немесе олар тексеру процесін жеңілдететін мамандандырылған Онлайн сертификаттау күйінің протоколын (OCSP) пайдалана алады.
- Сертификатты пайдаланушылар – СА-мен пайдаланушы келісімін жасасқан және ЭЦҚ-ны растайтын және/немесе сертификаттағы ашық кілт негізінде деректерді шифрлайтын қызмет көрсетілетін ПҚИ субъектілері.
- Оқырмандар – сертификаттың ашық кілтімен жұптастырылған құпия кілті бар және СА-мен абоненттік шарт жасасқан ПҚИ субъектілеріне қызмет көрсетіледі. Абонент бір уақытта сертификаттың пайдаланушысы бола алады.
Осылайша, CA, CR және ашық каталогтарды қамтитын ашық кілттер инфрақұрылымының сенімді субъектілері мыналар үшін жауапты:
1. Өтініш берушінің жеке басының түпнұсқалығын тексеру.
2. Ашық кілт сертификатын профильдеу.
3. Жеке басы сенімді түрде расталған өтініш берушіге ашық кілт сертификатын беру.
4. Ашық кілт сертификатының күйін өзгертіңіз.
5. Ашық кілт сертификатының ағымдағы күйі туралы ақпарат беру.
ПКИ кемшіліктері, олар қандай?PKI негізгі кемшілігі - сенімді құрылымдардың болуы.
Пайдаланушылар CA және CR-ге сөзсіз сенуі керек. Бірақ, тәжірибе көрсеткендей, сөзсіз сенім ауыр зардаптарға толы.
Соңғы он жылда бұл салада инфрақұрылымның осалдығына байланысты бірнеше ірі келеңсіздіктер орын алды.
— 2010 жылы RealTek және JMicron ұрланған цифрлық сертификаттары арқылы қол қойылған Stuxnet зиянды бағдарламасы желіде тарала бастады.
- 2017 жылы Google Symantec-ті көптеген жалған сертификаттар берді деп айыптады. Сол кезде Symantec өндіріс көлемі бойынша ең ірі CA-ның бірі болды. Google Chrome 70 браузерінде осы компания мен оның еншілес GeoTrust және Thawte орталықтары шығарған сертификаттарға қолдау көрсету 1 жылдың 2017 желтоқсанына дейін тоқтатылды.
СА бұзылды, нәтижесінде барлығы зардап шекті — СА-ның өздері де, пайдаланушылар мен жазылушылар да. Инфрақұрылымға деген сенім жоғалды. Сонымен қатар, сандық сертификаттар саяси қақтығыстар аясында бұғатталуы мүмкін, бұл көптеген ресурстардың жұмысына да әсер етеді. Бұл бірнеше жыл бұрын Ресей президентінің әкімшілігінде қорқатын нәрсе, онда 2016 жылы олар RuNet сайттарына SSL сертификаттарын беретін мемлекеттік сертификаттау орталығын құру мүмкіндігін талқылады. Қазіргі жағдай Ресейдегі мемлекеттік порталдар да бар американдық Comodo немесе Thawte компаниялары (Symantec еншілес кәсіпорны) шығарған цифрлық сертификаттар.
Тағы бір мәселе бар - сұрақ пайдаланушылардың бастапқы аутентификациясы (аутентификациясы).. Тікелей жеке байланыссыз цифрлық сертификатты беру туралы өтінішпен СА-ға хабарласқан пайдаланушыны қалай анықтауға болады? Енді бұл инфрақұрылымның мүмкіндіктеріне қарай ситуациялық түрде шешіледі. Ашық тізілімдерден бірдеңе алынады (мысалы, анықтамаларды сұрайтын заңды тұлғалар туралы ақпарат); өтініш берушілер жеке тұлғалар болған жағдайда, олардың жеке басын куәландыратын құжаттармен, мысалы, төлқұжатпен расталған банк бөлімшелері немесе пошта бөлімшелері пайдаланылуы мүмкін.
Тіркелгі деректерін басқа тұлға ретінде көрсету үшін бұрмалау мәселесі негізгі мәселе болып табылады. Ақпараттық-теориялық себептерге байланысты бұл мәселенің толық шешімі жоқ екенін атап өтейік: априори сенімді ақпаратсыз белгілі бір пәннің шынайылығын растау немесе теріске шығару мүмкін емес. Әдетте, тексеру үшін өтініш берушінің жеке басын куәландыратын құжаттар топтамасын ұсыну қажет. Көптеген әртүрлі тексеру әдістері бар, бірақ олардың ешқайсысы құжаттардың түпнұсқалығына толық кепілдік бермейді. Тиісінше, өтініш берушінің жеке басының шынайылығына да кепілдік берілмейді.
Бұл кемшіліктерді қалай жоюға болады?Егер ПҚИ-ның қазіргі жағдайындағы мәселелерін орталықтандырумен түсіндіруге болатын болса, онда орталықсыздандыру анықталған кемшіліктерді ішінара жоюға көмектеседі деп ойлау қисынды.
Орталықсыздандыру сенімді құрылымдардың болуын білдірмейді - егер сіз жасасаңыз орталықтандырылмаған ашық кілттер инфрақұрылымы (Орталықтандырылмаған ашық кілт инфрақұрылымы, DPKI), онда CA да, CR де қажет емес. Цифрлық сертификат тұжырымдамасынан бас тартып, ашық кілттер туралы ақпаратты сақтау үшін бөлінген тізілімді қолданайық. Біздің жағдайда регистрді блокчейн технологиясы арқылы байланыстырылған жеке жазбалардан (блоктардан) тұратын сызықтық деректер қоры деп атаймыз. Сандық сертификаттың орнына біз «хабарлама» түсінігін енгіземіз.
Хабарландыруларды қабылдау, тексеру және жою процесі ұсынылған DPKI-де қалай көрінеді:
1. Әрбір өтініш беруші тіркеу кезінде нысанды толтыру арқылы хабарламаға өтінімді өз бетінше береді, содан кейін ол мамандандырылған пулда сақталатын мәміле жасайды.
2. Ашық кілт туралы ақпарат иесінің деректемелерімен және басқа метадеректермен бірге орталықтандырылған ПҚИ-да СА шығарылуы үшін жауапты болатын цифрлық сертификатта емес, таратылған тізілімде сақталады.
3. Өтініш берушінің жеке басын куәландыратын құжаттың түпнұсқалығын тексеру фактіден кейін КҚ емес, ҚДҚИ пайдаланушылар қоғамдастығының бірлескен күш-жігерімен жүзеге асырылады.
4. Мұндай хабарламаның иесі ғана ашық кілттің күйін өзгерте алады.
5. Кез келген адам бөлінген кітапқа қол жеткізе алады және ашық кілттің ағымдағы күйін тексере алады.
Ескерту: Өтініш берушінің жеке басын қоғамдастық тексеруі бір қарағанда сенімсіз болып көрінуі мүмкін. Бірақ біз қазіргі уақытта цифрлық қызметтерді пайдаланушылардың барлығы міндетті түрде цифрлық із қалдыратынын есте ұстауымыз керек және бұл процесс тек қарқын ала береді. Заңды тұлғалардың ашық электрондық тізілімдері, карталар, жер бедерінің суреттерін цифрландыру, әлеуметтік желілер – мұның барлығы жалпыға қолжетімді құралдар. Олар журналистер де, құқық қорғау органдары да тергеу барысында сәтті қолданылып жүр. Мысалы, Bellingcat немесе малайзиялық Боинг ұшағының апатқа ұшырауының мән-жайын зерттеп жатқан JIT бірлескен тергеу тобының тергеулерін еске түсірсек жеткілікті.
Сонымен, орталықтандырылмаған ашық кілт инфрақұрылымы іс жүзінде қалай жұмыс істейді? Біз технологияның сипаттамасына тоқталайық 2018 жылы патенттелген және біз оны өзіміздің ноу-хау деп санаймыз.
Көптеген ашық кілттерге ие кейбір иесі бар екенін елестетіп көріңіз, мұнда әрбір кілт тізілімде сақталған белгілі бір транзакция болып табылады. CA жоқ болса, барлық кілттер осы нақты иесіне тиесілі екенін қалай түсінуге болады? Бұл мәселені шешу үшін иесі және оның әмияны туралы ақпаратты қамтитын нөлдік транзакция жасалады (одан транзакцияны тізілімге орналастыру үшін комиссия дебеттеледі). Нөлдік транзакция ашық кілттер туралы деректермен келесі транзакциялар тіркелетін «зәкірдің» түрі болып табылады. Әрбір осындай транзакция мамандандырылған деректер құрылымын немесе басқаша айтқанда, хабарламаны қамтиды.
Хабарлама – функционалдық өрістерден тұратын және иеленушінің ашық кілті туралы ақпаратты қамтитын деректердің құрылымдық жиынтығы, олардың сақталуына таратылған тізілімнің байланысты жазбаларының бірінде орналастыру арқылы кепілдік беріледі.
Келесі логикалық сұрақ - нөлдік транзакция қалай қалыптасады? Нөлдік транзакция — кейінгілер сияқты — алты деректер өрісінің жиынтығы. Нөлдік транзакцияны қалыптастыру кезінде әмиянның кілт жұбы қатысады (ашық және жұптастырылған құпия кілттер). Бұл кілттер жұбы пайдаланушы әмиянды тіркеген кезде пайда болады, одан тізілімде нөлдік транзакцияны орналастыру үшін комиссия есептен шығарылады, содан кейін хабарламалармен операциялар.
Суретте көрсетілгендей, әмиянның ашық кілтінің дайджесті SHA256 және RIPEMD160 хэш функцияларын дәйекті қолдану арқылы жасалады. Мұнда RIPEMD160 ені 160 биттен аспайтын мәліметтерді ықшам түрде көрсетуге жауапты. Бұл маңызды, себебі тізілім арзан дерекқор емес. Ашық кілттің өзі бесінші өріске енгізіледі. Бірінші өріс алдыңғы транзакцияға қосылымды орнататын деректерді қамтиды. Нөлдік транзакция үшін бұл өрісте оны кейінгі транзакциялардан ерекшелендіретін ештеңе жоқ. Екінші өріс - транзакциялардың қосылуын тексеруге арналған деректер. Қысқалық үшін бірінші және екінші өрістердегі деректерді тиісінше «сілтеме» және «тексеру» деп атаймыз. Төмендегі суреттегі екінші және үшінші транзакцияларды байланыстыру арқылы көрсетілгендей, бұл өрістердің мазмұны итерациялық хэштеу арқылы жасалады.
Алғашқы бес өрістегі деректер әмиянның құпия кілті арқылы жасалған электрондық қолтаңбамен куәландырылады.
Міне, нөлдік транзакция пулға жіберіледі және сәтті тексеруден кейін тізілімге енгізілген. Енді сіз оған келесі транзакцияларды «байланыстыруға» болады. Нөлден басқа транзакциялар қалай құрылатынын қарастырайық.
Сіздің көзіңізге түскен бірінші нәрсе - кілт жұптарының көптігі. Бұрыннан таныс әмиян кілттер жұбына қосымша, қарапайым және қызмет көрсету кілттері жұптары қолданылады.
Кәдімгі ашық кілт - бұл бәрі не үшін басталды. Бұл кілт сыртқы әлемде болып жатқан әртүрлі процедуралар мен процестерге қатысады (банктік және басқа операциялар, құжат айналымы және т.б.). Мысалы, қарапайым жұптың құпия кілті әртүрлі құжаттардың – төлем тапсырмаларының және т.б. үшін ЭЦҚ генерациялау үшін пайдаланылуы мүмкін, ал ашық кілт осы нұсқауларды кейіннен орындай отырып, осы электрондық цифрлық қолтаңбаны тексеру үшін пайдаланылуы мүмкін, егер ол қажет болса. жарамды.
Қызметтер жұбы тіркелген DPKI субъектісіне беріледі. Бұл жұптың атауы оның мақсатына сәйкес келеді. Нөлдік транзакцияны құру/тексеру кезінде қызмет көрсету кілттері пайдаланылмайтынын ескеріңіз.
Кілттердің мақсатын тағы да түсіндірейік:
- Әмиян кілттері нөлдік транзакцияны және кез келген басқа нөлдік емес транзакцияны жасау/тексеру үшін пайдаланылады. Әмиянның жабық кілті әмиянның иесіне ғана белгілі, ол сонымен қатар көптеген қарапайым ашық кілттердің иесі болып табылады.
- Кәдімгі ашық кілт тағайындалуы бойынша орталықтандырылған ПКИ-де сертификат берілетін ашық кілтке ұқсас.
- Қызметтік кілттер жұбы DPKI-ге жатады. Құпиялық кілт тіркелген субъектілерге беріледі және транзакциялар үшін ЭЦҚ генерациялау кезінде қолданылады (нөлдік транзакцияларды қоспағанда). Қоғамдық мәміле тізілімде орналастырылғанға дейін электрондық цифрлық қолтаңбаны тексеру үшін пайдаланылады.
Осылайша, кілттердің екі тобы бар. Біріншісі қызметтік кілттер мен әмиян кілттерін қамтиды - олар тек DPKI контекстінде мағынасы бар. Екінші топқа кәдімгі кілттер кіреді - олардың қолданылу аясы әртүрлі болуы мүмкін және олар қолданылатын қолданбалы тапсырмалармен анықталады. Сонымен қатар, DPKI қарапайым ашық кілттердің тұтастығы мен түпнұсқалығын қамтамасыз етеді.
Ескертпе: Қызметтік кілт жұбы әртүрлі DPKI нысандарына белгілі болуы мүмкін. Мысалы, барлығына бірдей болуы мүмкін. Дәл осы себепті әрбір нөлдік емес транзакцияның қолтаңбасын жасау кезінде екі құпия кілт пайдаланылады, олардың біреуі әмиян кілті - бұл әмиянның иесіне ғана белгілі, ол сонымен қатар көптеген қарапайым операциялардың иесі болып табылады. ашық кілттер. Барлық кілттердің өз мағынасы бар. Мысалы, транзакцияны тіркелген DPKI субъектісі тізілімге енгізгенін әрқашан дәлелдеуге болады, өйткені қолтаңба да құпия қызмет кілтінде жасалған. Және DOS шабуылдары сияқты теріс пайдалану болуы мүмкін емес, өйткені иесі әрбір транзакция үшін төлейді.
Нөлден кейінгі барлық транзакциялар ұқсас түрде қалыптасады: ашық кілт (нөлдік транзакция жағдайындағыдай әмиян емес, қарапайым кілт жұбынан) SHA256 және RIPEMD160 екі хэш функциялары арқылы іске қосылады. Үшінші өрістің деректері осылай қалыптасады. Төртінші өрісте ілеспе ақпарат (мысалы, ағымдағы күй, жарамдылық мерзімі, уақыт белгісі, қолданылатын крипто-алгоритмдердің идентификаторлары және т.б. туралы ақпарат) бар. Бесінші өрісте қызмет көрсету кілті жұбының ашық кілті бар. Оның көмегімен ЭЦҚ тексеріледі, сондықтан ол қайталанады. Мұндай тәсілдің қажеттілігін негіздейік.
Еске салайық, транзакция пулға енгізіледі және ол өңделгенге дейін сонда сақталады. Пулда сақтау белгілі бір тәуекелмен байланысты – транзакция деректері бұрмалануы мүмкін. Меншік иесі мәміле деректерін электрондық цифрлық қолтаңбамен куәландырады. Осы ЭЦҚ-ны тексеруге арналған ашық кілт транзакция өрістерінің бірінде анық көрсетіледі және кейіннен тізілімге енгізіледі. Транзакцияны өңдеудің ерекшеліктері мынада: шабуылдаушы деректерді өз қалауы бойынша өзгерте алады, содан кейін оны өзінің құпия кілті арқылы тексере алады және транзакциядағы ЭЦҚ тексеру үшін жұпталған ашық кілтті көрсете алады. Түпнұсқалық пен тұтастық тек ЭЦҚ арқылы қамтамасыз етілсе, мұндай жалғандық байқалмай қалады. Алайда, егер электрондық цифрлық қолтаңбадан басқа, сақталған ақпаратты мұрағаттауды да, тұрақтылығын да қамтамасыз ететін қосымша механизм болса, онда жалғандықты анықтауға болады. Ол үшін тізілімге иесінің шынайы ашық кілтін енгізу жеткілікті. Мұның қалай жұмыс істейтінін түсіндіріп көрейік.
Шабуылдаушыға транзакция деректерін қолдан жасауға мүмкіндік беріңіз. Кілттер мен электрондық цифрлық қолтаңбалар тұрғысынан келесі опциялар мүмкін:
1. Шабуылдаушы өзінің ашық кілтін транзакцияға орналастырады, ал иесінің электрондық цифрлық қолтаңбасы өзгеріссіз қалады.
2. Шабуылдаушы өзінің жеке кілтінде цифрлық қолтаңбаны жасайды, бірақ иесінің ашық кілтін өзгеріссіз қалдырады.
3. Шабуылдаушы өзінің жеке кілтінде ЭЦҚ жасайды және транзакцияға жұпталған ашық кілтті орналастырады.
Әлбетте, 1 және 2 нұсқаларының мәні жоқ, өйткені олар әрқашан ЭЦҚ тексеру кезінде анықталады. Тек 3-нұсқаның мағынасы бар және егер шабуылдаушы өзінің құпия кілтінде цифрлық қолтаңбаны қалыптастырса, онда ол транзакцияда иесінің ашық кілтінен өзгеше жұпталған ашық кілтті сақтауға мәжбүр болады. Бұл шабуылдаушыға жалған деректерді енгізудің жалғыз жолы.
Иесінің жеке және жалпыға ортақ кілттер жұбы бар деп есептейік. Мәліметтер осы жұптың құпия кілті арқылы ЭЦҚ арқылы куәландырылсын, ал ашық кілт транзакцияда көрсетіледі. Сондай-ақ, бұл ашық кілт бұрын тізілімге енгізілген және оның түпнұсқалығы сенімді түрде тексерілген деп есептейік. Содан кейін транзакцияның ашық кілті тізілімдегі ашық кілтке сәйкес келмеуі жалғандықты көрсетеді.
Қорытындылайық. Иесінің алғашқы транзакция деректерін өңдеу кезінде тізілімге енгізілген ашық кілттің түпнұсқалығын тексеру қажет. Мұны істеу үшін тізілімдегі кілтті оқып шығыңыз және оны қауіпсіздік периметрі (салыстырмалы осалсыздық аймағы) шегінде иесінің шынайы ашық кілтімен салыстырыңыз. Кілттің түпнұсқалығы расталса және орналастыру кезінде оның тұрақтылығына кепілдік берілсе, онда кейінгі транзакциядан алынған кілттің түпнұсқалығын тізілімдегі кілтпен салыстыру арқылы оңай растауға/болмауға болады. Басқаша айтқанда, тізілімдегі кілт анықтамалық үлгі ретінде пайдаланылады. Барлық басқа иелік транзакциялары бірдей өңделеді.
Транзакция электрондық цифрлық қолтаңбамен куәландырылады - бұл жерде құпия кілттер қажет, бір емес, бірден екі - қызмет көрсету кілті және әмиян кілті. Екі құпия кілтті қолданудың арқасында қауіпсіздіктің қажетті деңгейі қамтамасыз етіледі – сайып келгенде, қызметтік құпия кілт басқа пайдаланушыларға белгілі болуы мүмкін, ал әмиянның құпия кілті қарапайым кілт жұбының иесіне ғана белгілі. Біз мұндай екі кілтті қолтаңбаны «консолидацияланған» цифрлық қолтаңба деп атадық.
Нөлдік емес транзакцияларды тексеру екі ашық кілттің көмегімен жүзеге асырылады: әмиян және қызмет көрсету кілті. Тексеру процесін екі негізгі кезеңге бөлуге болады: біріншісі - әмиянның ашық кілтінің дайджестін тексеру, екіншісі - транзакцияның электрондық цифрлық қолтаңбасын тексеру, екі құпия кілттің көмегімен қалыптастырылған бірдей біріктірілген. әмиян және қызмет көрсету). ЭЦҚ-ның жарамдылығы расталған жағдайда, қосымша тексеруден кейін операция тізілімге енгізіледі.
Логикалық сұрақ туындауы мүмкін: транзакцияның нөлдік транзакция түріндегі «түбірі» бар белгілі бір тізбекке жататынын қалай тексеруге болады? Осы мақсатта тексеру процесі тағы бір кезеңмен - қосылымды тексерумен толықтырылады. Міне, біз осы уақытқа дейін ескермеген алғашқы екі өрістің деректері қажет болады.
№3 транзакция шынымен №2 транзакциядан кейін келеді ме, соны тексеру керек деп елестетіп көрейік. Ол үшін аралас хэштеу әдісін қолдана отырып, хэш функциясының мәні No 2 транзакцияның үшінші, төртінші және бесінші өрістерінің деректері үшін есептеледі. Содан кейін No 3 транзакцияның бірінші өрісінің деректерін және No 2 транзакцияның үшінші, төртінші және бесінші өрістеріндегі деректер үшін бұрын алынған біріктірілген хэш-функция мәнін біріктіру орындалады. Мұның бәрі SHA256 және RIPEMD160 екі хэш-функциялары арқылы орындалады. Егер алынған мән No2 транзакцияның екінші өрісіндегі деректерге сәйкес келсе, онда тексеруден өтіп, қосылу расталады. Бұл төмендегі суреттерде нақтырақ көрсетілген.
Жалпы алғанда, хабарламаны жасау және тізілімге енгізу технологиясы дәл осылай көрінеді. Хабарландырулар тізбегін қалыптастыру процесінің көрнекі иллюстрациясы келесі суретте берілген:
Бұл мәтінде біз сөзсіз бар бөлшектерге тоқталмаймыз және орталықтандырылмаған ашық кілт инфрақұрылымы идеясын талқылауға қайта ораламыз.
Сонымен, өтініш берушінің өзі CA дерекқорында емес, тізілімде сақталатын хабарламаларды тіркеуге өтініш бергендіктен, ҚДҚИ негізгі архитектуралық құрамдастарын ескеру қажет:
1. Жарамды хабарламалар тізілімі (RDN).
2. Кері қайтарылған хабарламалар тізілімі (RON).
3. Тоқтатылған хабарламалар тізілімі (RPN).
Ашық кілттер туралы ақпарат RDN/RON/RPN ішінде хэш функциясы мәндері түрінде сақталады. Сондай-ақ, бұл қарапайым ашық кілттің күйі туралы ақпарат (кері қайтарып алу, тоқтата тұру және т. сәйкес кодтық мән түріндегі деректер құрылымының төртінші өрісі. DPKI архитектуралық жүзеге асырудың көптеген әртүрлі нұсқалары бар және олардың біреуін немесе екіншісін таңдау бірқатар факторларға байланысты, мысалы, ашық кілттерді сақтауға арналған ұзақ мерзімді жадтың құны сияқты оңтайландыру критерийлері және т.б.
Осылайша, DPKI, егер қарапайым болмаса, сәулеттік күрделілік тұрғысынан, кем дегенде, орталықтандырылған шешіммен салыстыруға болатын болуы мүмкін.
Негізгі сұрақ қалады - Технологияны енгізу үшін қай тізілім қолайлы?
Тізілімге қойылатын негізгі талап – кез келген түрдегі транзакцияларды құру мүмкіндігі. Бухгалтерлік кітаптың ең танымал мысалы - Bitcoin желісі. Бірақ жоғарыда сипатталған технологияны енгізу кезінде белгілі бір қиындықтар туындайды: қолданыстағы сценарий тілінің шектеулері, деректердің ерікті жиынын өңдеудің қажетті механизмдерінің болмауы, ерікті түрдегі транзакцияларды жасау әдістері және т.б.
Біз ENCRY компаниясында жоғарыда тұжырымдалған мәселелерді шешуге тырыстық және тізілімді әзірледік, біздің ойымызша, оның бірқатар артықшылықтары бар, атап айтқанда:
- транзакциялардың бірнеше түрін қолдайды: ол активтерді айырбастауға да (яғни қаржылық операцияларды жүзеге асыруға) және ерікті құрылыммен транзакцияларды құруға,
- әзірлеушілер әртүрлі технологиялық мәселелерді шешу кезінде қажетті икемділікті қамтамасыз ететін PrismLang меншікті бағдарламалау тіліне қол жеткізе алады,
- ерікті деректер жиынын өңдеу механизмі қарастырылған.
Егер біз оңайлатылған тәсілді алсақ, онда келесі әрекеттер тізбегі орын алады:
- Өтініш беруші DPKI-де тіркеліп, цифрлық әмиянды алады. Әмиян мекенжайы - әмиянның ашық кілтінің хэш мәні. Әмиянның жеке кілті тек өтініш берушіге белгілі.
- Тіркелген субъектіге қызмет құпия кілтіне рұқсат беріледі.
- Субъект нөлдік транзакция жасайды және оны әмиянның құпия кілті арқылы ЭЦҚ арқылы тексереді.
- Егер нөлден басқа транзакция жасалса, ол екі құпия кілт: әмиян және қызметтік кілт арқылы электрондық цифрлық қолтаңбамен куәландырылады.
- Субъект транзакцияны пулға жібереді.
- ENCRY желісінің түйіні транзакцияны пулдан оқиды және цифрлық қолтаңбаны, сондай-ақ транзакцияның қосылу мүмкіндігін тексереді.
- Егер ЭЦҚ жарамды болса және қосылу расталса, онда ол транзакцияны тізілімге енгізуге дайындайды.
Мұнда тізілім жарамды, жойылған және тоқтатылған хабарландырулар туралы ақпаратты сақтайтын таратылған дерекқор ретінде әрекет етеді.
Әрине, орталықсыздандыру панацея емес. Бастапқы пайдаланушы аутентификациясының іргелі мәселесі еш жерде жойылмайды: егер қазіргі уақытта өтініш берушіні тексеруді ТЖ жүзеге асырса, онда ҚДҚИ-да тексеруді қоғамдастық мүшелеріне тапсыру және белсенділікті ынталандыру үшін қаржылық мотивацияны пайдалану ұсынылады. Ашық кодты тексеру технологиясы жақсы белгілі. Мұндай тексерудің тиімділігі іс жүзінде дәлелденді. Bellingcat интернет-басылымының бірқатар беделді зерттеулерін тағы да еске түсірейік.
Бірақ тұтастай алғанда мынадай көрініс пайда болады: ДПҚИ орталықтандырылған ПҚИ-ның көптеген кемшіліктерін түгел болмаса да, түзетуге мүмкіндік береді.
Біздің Habrablog-қа жазылыңыз, біз өз зерттеулеріміз бен әзірлемелерімізді белсенді түрде қамтуды және бақылап отыруды жоспарлап отырмыз , ENCRY жобалары туралы басқа жаңалықтарды жіберіп алғыңыз келмесе.
Ақпарат көзі: www.habr.com