Ne veşartî ye ku yek ji wan amûrên alîkar ên ku bi gelemperî têne bikar anîn, bêyî ku parastina daneyê di torên vekirî de ne gengaz e, teknolojiya sertîfîkaya dîjîtal e. Lêbelê, ne veşartî ye ku kêmasiya sereke ya teknolojiyê pêbaweriya bê şert e li navendên ku sertîfîkayên dîjîtal derdixin. Rêvebirê Teknolojî û Nûjeniyê li ENCRY Andrey Chmora ji bo rêxistinkirinê nêzîkatiyek nû pêşniyar kir binesaziya key giştî (Binesaziya Mifteya Giştî, PKI), ya ku dê bibe alîkar ji holê rakirina kêmasiyên heyî û ya ku teknolojiya deftera belavkirî (blockchain) bikar tîne. Lê pêşî tiştên pêşîn.
Heke hûn bi binesaziya mifteya giştî ya heyî çawa dixebitin û kêmasiyên wê yên sereke dizanin, wê hingê hûn dikarin pêşde biçin da ku tiştê ku em li jêr pêşniyar dikin ku biguhezînin diyar bikin.
Îmze û sertîfîkayên dîjîtal çi ne?Têkiliya li ser Înternetê her gav veguheztina daneyan pêk tîne. Berjewendiya me hemûyan heye ku pê ewle bin ku dane bi ewlehî têne veguheztin. Lê ewlehî çi ye? Karûbarên ewlehiyê yên ku herî zêde lê digerin nepenîbûn, yekitî û rastî ne. Ji bo vê armancê, rêbazên krîptografiya asîmetrîk, an jî şîfreya bi mifteya gelemperî, niha têne bikar anîn.
Ka em bi vê rastiyê dest pê bikin ku ji bo karanîna van rêbazan, mijarên danûstendinê divê du kilîtên hevgirtî yên kesane hebin - gelemperî û veşartî. Bi alîkariya wan, xizmetên ewlehiyê yên ku me li jor behs kir, têne peyda kirin.
Çawa nepenîtiya veguhestina agahdariyê tê bidestxistin? Berî şandina daneyan, aboneyê ku dişîne, bi karanîna mifteya giştî ya wergir daneya vekirî şîfre dike (bi şîfre diguhezîne), û wergir bi karanîna mifteya nehênî ya hevgirtî şîfretexta wergirtî deşîfre dike.
Yekbûn û rastiya agahdariya ku hatî şandin çawa tête bidestxistin? Ji bo çareserkirina vê pirsgirêkê, mekanîzmayek din hate afirandin. Daneyên vekirî ne şîfrekirî ne, lê encama sepandina fonksiyona hash a krîptografî - wêneyek "tevlihevkirî" ya rêzika daneya têketinê - bi rengek şîfrekirî tê şandin. Encama haşkirinê ya bi vî rengî "digest" tê gotin, û ew bi karanîna mifteya veşartî ya aboneyê şandî ("şahid") tê şîfrekirin. Di encama şîfrekirina digestê de, îmzeyek dîjîtal tê bidestxistin. Ew, digel nivîsa zelal, ji aboneyê wergir ("verastker") re tê şandin. Ew îmzaya dîjîtal a li ser mifteya giştî ya şahidê deşîfre dike û wê bi encama sepandina fonksiyonek hash a krîptografî re, ku verastker li ser bingeha daneyên vekirî yên wergirtî serbixwe hesab dike, dide ber hev. Ger ew li hev bikin, ev destnîşan dike ku dane bi rengek rastîn û bêkêmasî ji hêla aboneyê şandinê ve hatî şandin, û ji hêla êrîşker ve nehatiye guheztin.
Piraniya çavkaniyên ku bi daneyên kesane û agahdariya dravdanê re dixebitin (banqe, pargîdaniyên bîmeyê, balafirgeh, pergalên dravdanê, û her weha portalên hukûmetê yên wekî karûbarê bacê) bi awayekî aktîf rêbazên krîptografî yên asîmetrîk bikar tînin.
Sertîfîkaya dîjîtal bi wê re çi heye? Ew hêsan e. Hem pêvajoya yekem û hem jî ya duyemîn mifteyên giştî vedihewîne, û ji ber ku ew rolek navendî dilîzin, pir girîng e ku meriv pê ewle bibe ku mift bi rastî aîdî şanderê (şahid, di rewşa verastkirina îmzeyê de) an wergir in û ne bi kilîtên êrîşkaran veguherandin. Ji ber vê yekê sertîfîkayên dîjîtal hene da ku rastbûn û yekbûna mifteya giştî piştrast bikin.
Nîşe: Rastî û yekbûna mifteya giştî bi heman rengî wekî rastbûn û yekdestiya daneyên giştî, ango bi karanîna îmzeyek dîjîtal a elektronîkî (EDS) tête pejirandin.
Sertîfîkayên dîjîtal ji ku têne?Karbidestên pejirandî yên pêbawer, an Karbidestên Sertîfîkayê (CA), berpirsiyar in ku sertîfîkayên dîjîtal bidin û biparêzin. Serlêder daxwaza derxistina sertîfîkayekê ji CA dike, li Navenda Qeydkirinê (CR) nasnameyek derbas dike û ji CA sertîfîkayekê distîne. CA garantî dike ku mifteya giştî ya ji sertîfîkayê tam aîdê saziya ku ew jê re hatî derxistin e.
Ger hûn rastiya mifteya giştî piştrast nekin, wê hingê êrîşkarek di dema veguheztin/depokirina vê kilîtê de dikare wê bi ya xwe biguhezîne. Ger veguheztin pêk hatibe, êrîşkar dê bikaribe her tiştê ku aboneyê dişîne ji aboneya wergir re veguhezîne, an jî li gorî daxwaza xwe daneyên vekirî biguhezîne.
Sertîfîkayên dîjîtal li her cihê ku şîfreya asîmetrîk hebe tê bikar anîn. Yek ji sertîfîkayên dîjîtal ên herî gelemperî sertîfîkayên SSL-ê ji bo pêwendiya ewledar a li ser protokola HTTPS-ê ye. Bi sedan pargîdaniyên ku di dadrêsiyên cihêreng de qeydkirî ne di weşandina sertîfîkayên SSL de beşdar in. Parçeya sereke dikeve ser pênc û deh navendên pêbawer ên mezin: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.
CA û CR hêmanên PKI-yê ne, ku di nav wan de jî hene:
- Peldanka veke - databasek gelemperî ku hilanîna ewleh a sertîfîkayên dîjîtal peyda dike.
- Lîsteya betalkirina sertîfîkayê - databasek gelemperî ku hilanîna ewleh a sertîfîkayên dîjîtal ên mifteyên giştî yên betalkirî peyda dike (mînak, ji ber lihevkirina mifteyek taybet a hevberkirî). Mijarên binesaziyê dikarin serbixwe xwe bigihînin vê databasê, an jî ew dikarin Protokola Rewşa Sertîfîkaya Serhêl a pispor (OCSP) bikar bînin, ku pêvajoya verastkirinê hêsan dike.
- Bikarhênerên sertîfîkayê - Mijarên PKI-yê yên ku bi CA-yê re peymanek bikarhêner danîne servîs dike û li ser bingeha mifteya giştî ya sertîfîkayê îmzeya dîjîtal verast dikin û/an jî daneyan şîfre dikin.
- Followers - xizmetê ji mijarên PKI re kir ku xwedan mifteyek veşartî ya bi mifteya giştî ya sertîfîkayê re têkildar e, û yên ku bi CA re ketine peymanek abonetiyê. Abonet dikare di heman demê de bibe bikarhênerek sertîfîkayê.
Ji ber vê yekê, saziyên pêbawer ên binesaziya mifteya gelemperî, ku CA, CR û pelrêça vekirî vedigirin, berpirsiyar in:
1. Verastkirina rastiya nasnameya serlêder.
2. Profîlkirina sertîfîkaya mifteya giştî.
3. Derxistina sertîfîkaya mifteya giştî ji bo serlêderek ku nasnameya wî bi pêbawer hatî pejirandin.
4. Rewşa sertîfîkaya mifteya giştî biguherînin.
5. Agahdarî li ser rewşa heyî ya sertîfîkaya mifteya giştî peyda dike.
Kêmasiyên PKI, çi ne?Xeletiya bingehîn a PKIyê hebûna saziyên pêbawer e.
Divê bikarhêner bê şert û merc bi CA û CR bawer bikin. Lê, wekî ku pratîk nîşan dide, pêbaweriya bê şert û merc bi encamên cidî tije ye.
Di deh salên çûyî de, di vî warî de gelek skandalên mezin ên têkildarî lawazbûna binesaziyê hene.
- di sala 2010-an de, malware Stuxnet dest pê kir ku serhêl belav bû, bi karanîna sertîfîkayên dîjîtal ên dizî yên ji RealTek û JMicron ve hatî îmze kirin.
- Di sala 2017an de, Google Symantec bi belavkirina hejmareke mezin ji sertîfîkayên sexte tawanbar kir. Di wê demê de, Symantec di warê hilberîna hilberînê de yek ji mezintirîn CA bû. Di geroka Google Chrome 70 de, piştgirî ji bo sertîfîkayên ku ji hêla vê pargîdanî û navendên pê ve girêdayî GeoTrust û Thawte ve hatine derxistin berî 1ê Kanûna Pêşîn a 2017an hate rawestandin.
CA hatin tawîz kirin, û di encamê de her kes zirar dît - CA bixwe, û her weha bikarhêner û aboneyên. Baweriya binesaziyê ji holê rabûye. Wekî din, dibe ku sertîfîkayên dîjîtal di çarçoveya nakokiyên siyasî de bêne asteng kirin, ku ev jî dê bandorê li xebata gelek çavkaniyan bike. Ev bi rastî tiştê ku çend sal berê di rêveberiya serokatiya Rûsyayê de dihat tirsandin, ku di sala 2016-an de wan li ser îhtîmala afirandina navendek pejirandî ya dewletê ku dê sertîfîkayên SSL-ê ji malperên li ser RuNet re bide, nîqaş kirin. Rewşa heyî wisa ye ku li Rûsyayê jî portalên dewletê jî hene sertîfîkayên dîjîtal ên ku ji hêla pargîdaniyên Amerîkî Comodo an Thawte (şirketek Symantec) ve têne derxistin.
Pirsgirêkek din jî heye - pirs erêkirina bingehîn (authentication) bikarhêneran. Meriv çawa bikarhênerek ku bi CA-yê re têkilî datîne bi daxwazek ji bo derxistina sertîfîkayek dîjîtal bêyî têkiliya kesane ya rasterast nas dike? Naha ev li gorî kapasîteyên binesaziyê li gorî rewşek biryar tê girtin. Tiştek ji tomarên vekirî têne girtin (mînak, agahdariya li ser saziyên qanûnî yên ku sertîfîkayan daxwaz dikin); di rewşên ku serlêder kes in, dikarin ofîsên bankê an postexaneyên bikar bînin, ku nasnameya wan bi karanîna belgeyên nasnameyê, mînakî, pasaportek were pejirandin.
Pirsgirêka sextekirina pêbaweriyan ji bo mebesta nenaskirinê pirsgirêkek bingehîn e. Ka em bala xwe bidinê ku ji ber sedemên agahdarî-teorîk çareseriyek bêkêmasî ji vê pirsgirêkê re tune: bêyî ku agahdariya pêbawer a priori hebe, ne gengaz e ku rastbûna mijarek taybetî were pejirandin an înkar kirin. Wekî qaîdeyek, ji bo verastkirinê pêdivî ye ku komek belgeyên ku nasnameya serlêder îspat dikin pêşkêş bikin. Gelek rêbazên verastkirinê yên cihêreng hene, lê yek ji wan garantiya tam ya rastiya belgeyan peyda nake. Li gorî vê yekê, rastiya nasnameya serlêder jî nayê garantî kirin.
Ev kêmasî çawa dikarin bên rakirin?Heger pirsgirêkên PKIyê yên di rewşa wê ya îroyîn de bi navendîbûnê werin îzahkirin, wê gavê mentiqî ye ku meriv bihesibîne ku desentralîzasyon dê bi qismî kêmasiyên ku hatine tespît kirin ji holê rabike.
Desentralîzasyon hebûna saziyên pêbawer nayê wateya - heke hûn çêbikin binesaziya mifteya giştî ya nemerkezî (Binesaziya Mifteya Giştî ya Nenavendî, DPKI), wê hingê ne CA ne jî CR hewce ne. Werin em dev ji têgeha sertîfîkayek dîjîtal berdin û qeydek belavkirî bikar bînin da ku agahdariya li ser mifteyên gelemperî hilînin. Di doza me de, em ji qeydek re dibêjin databasek xêzik ku ji tomarên kesane (blokên) ku bi karanîna teknolojiya zincîra blokê ve girêdayî ne pêk tê. Li şûna sertîfîkaya dîjîtal, em ê têgeha "agahdarkirinê" bidin nasîn.
Pêvajoya wergirtin, verastkirin û betalkirina agahdariyan dê di DPKI-ya pêşniyarkirî de çawa xuya bike:
1. Her serlêder di dema qeydkirinê de bi dagirtina formek serbixwe serîlêdanek ji bo ragihandinê pêşkêş dike, piştî wê ew danûstendinek ku di hewzek pispor de tê hilanîn diafirîne.
2. Agahdariya li ser mifteya giştî, digel hûrguliyên xwedan û metadatayên din, di qeydek belavkirî de, û ne di sertîfîkayek dîjîtal de, ku ji bo weşandina wê di PKI-ya navendî de berpirsiyar e CA, tê hilanîn.
3. Verastkirina rastiya nasnameya serlêder piştî rastiyê bi hewildanên hevbeş ên civata bikarhênerê DPKI, û ne ji hêla CR ve, tê kirin.
4. Tenê xwediyê agahdariyek weha dikare statûya mifteyek gelemperî biguhezîne.
5. Her kes dikare xwe bigihîne pirtûka belavkirî û rewşa heyî ya mifteya giştî kontrol bike.
Nîşe: Verastkirina civatê ya nasnameya serlêderê dibe ku di nihêrîna pêşîn de ne pêbawer xuya bike. Lê divê em ji bîr mekin ku naha hemî bikarhênerên karûbarên dîjîtal bi neçarî şopek dîjîtal dihêlin, û ev pêvajo dê tenê berdewam bike. Tomarên elektronîkî yên saziyên dadrêsî, nexşe, dîjîtalkirina wêneyên axê, torên civakî vekin - ev hemî amûrên berdest in. Ew jixwe di dema lêpirsînan de hem ji hêla rojnamevan hem jî ji hêla saziyên qanûnê ve bi serfirazî têne bikar anîn. Ji bo nimûne, bes e ku em lêkolînên Bellingcat an jî tîmê lêkolînê ya hevpar JIT, ku li ser şert û mercên ketina balafira Boeing a Malezyayê lêkolîn dikin, bi bîr bînin.
Ji ber vê yekê binesaziyek mifteya giştî ya nenavendî dê di pratîkê de çawa bixebite? Ka em li ser danasîna teknolojiyê bixwe, ya ku em rawestin di sala 2018 de patented û em bi heqî ew zanîna xwe dihesibînin.
Bifikirin ku xwedanek heye ku xwediyê gelek mifteyên gelemperî ye, ku her miftek danûstendinek diyarkirî ye ku di qeydê de tê hilanîn. Di nebûna CA de, hûn çawa dikarin fêm bikin ku hemî kilît aîdî vî xwediyê taybetî ne? Ji bo çareserkirina vê pirsgirêkê, danûstendinek zero tê afirandin, ku agahdariya di derbarê xwedan û berîka wî de heye (ku komîsyona danîna danûstendinê di qeydê de jê tê derxistin). Danûstendina nûl celebek "lenger" e ku dê danûstandinên jêrîn bi daneyên di derheqê mifteyên gelemperî de pê ve werin girêdan. Her danûstendinek wusa avahiyek daneya taybetî, an bi gotinek din, agahdariyek heye.
Agahdarî komek daneya birêkûpêk e ku ji qadên fonksiyonel pêk tê û agahdariya li ser mifteya giştî ya xwedan tê de ye, domdariya wê bi danîna yek ji tomarên têkildar ên qeyda belavkirî ve tê garantî kirin.
Pirsa mentiqî ya paşîn ev e ku çawa danûstendinek sifir pêk tê? Danûstendina betal - mîna yên paşîn - kombûna şeş zeviyên daneyê ye. Di dema damezrandina danûstendinek zero de, cotê mifteya berîka (bişkojkên veşartî yên gelemperî û hevgirtî) tê de ye. Ev cot bişkokan di dema ku bikarhêner berîka xwe tomar dike de xuya dibe, ku komîsyona danîna danûstendinek sifir di qeydê de û, dûv re, operasyonên bi agahdarkirinê dê jê were derxistin.
Wekî ku di jimarê de tê xuyang kirin, pêvekek mifteya giştî ya walletê bi birêkûpêk sepandina fonksiyonên hash SHA256 û RIPEMD160 tê çêkirin. Li vir RIPEMD160 berpirsiyar e ji bo nûnertiya berhevkirî ya daneyan, ku firehiya wê ji 160 bit derbas nabe. Ev girîng e ji ber ku qeyd ne databasek erzan e. Mifteya gelemperî bixwe di qada pêncemîn de tê navnîş kirin. Qada yekem daneyên ku têkiliyek bi danûstendina berê re saz dike dihewîne. Ji bo danûstendinek sifir, ev zeviy tiştek tune, ku wê ji danûstendinên paşîn cuda dike. Qada duyemîn daneyên ji bo kontrolkirina girêdana danûstendinan e. Ji bo kurtasî, em ê daneyên di qadên yekem û duyemîn de bi rêzdarî "girêdan" û "kontrol" bi nav bikin. Naveroka van qadan ji hêla hashkirina dubare ve têne hilberandin, wekî ku bi girêdana danûstendinên duyemîn û sêyemîn di jimareya jêrîn de diyar dibe.
Daneyên ji pênc zeviyên pêşîn bi îmzeyek elektronîkî ve têne pejirandin, ku bi karanîna mifteya veşartî ya walletê ve hatî çêkirin.
Ew e, danûstendina null ji hewzê re tê şandin û piştî verastkirina serketî tê navnîş kirin. Naha hûn dikarin danûstendinên jêrîn jê re "girêdin". Ka em binihêrin ka ji bilî sifirê danûstandin çawa têne çêkirin.
Yekem tiştê ku dibe ku bala we kişand pirbûna cotên keys e. Ji bilî cotê mifteya walletê ya jixwe naskirî, cotên mifteya asayî û karûbar têne bikar anîn.
Mifteya gelemperî ya asayî ew e ku her tişt ji bo wê dest pê kir. Ev kilît di prosedur û pêvajoyên cihêreng ên ku li cîhana derve derdikevin (banqe û danûstandinên din, herikîna belgeyan, hwd.) de têkildar e. Mînakî, mifteyek nepenî ji cotek asayî dikare were bikar anîn da ku ji bo belgeyên cihêreng - fermanên dravdanê, hwd., îmzeyên dîjîtal biafirîne, û mifteyek giştî dikare were bikar anîn da ku vê îmzeya dîjîtal bi cîbicîkirina paşîn a van rêwerzan verast bike, bi şertê ku ew derbasdar e.
Cotê karûbarê ji mijara DPKI-ya qeydkirî re tê dayîn. Navê vê cotê bi armanca wê re têkildar e. Bala xwe bidinê ku dema danûstendinek sifir ava dikin/kontrol dikin, bişkokên karûbarê nayên bikar anîn.
Ka em dîsa armanca kilîtan zelal bikin:
- Bişkojkên walletê têne bikar anîn ku hem danûstendinek null û hem jî her danûstendinek din a ne-null çêbike/verast bike. Mifteya taybet a walletê tenê ji xwediyê berîka re tê zanîn, ku di heman demê de xwediyê gelek mifteyên gelemperî yên gelemperî ye.
- Mifteya gelemperî ya asayî di armancê de mîna mifteyek gelemperî ye ku ji bo wê sertîfîkayek di PKI-ya navendî de tê derxistin.
- Cotê mifteya karûbarê girêdayî DPKI ye. Mifteya veşartî ji saziyên qeydkirî re tê derxistin û dema ku ji bo danûstendinan îmzeyên dîjîtal têne çêkirin (ji bilî danûstendinên sifir) tê bikar anîn. Public ji bo verastkirina îmzeya dîjîtal a elektronîkî ya danûstendinek berî ku ew di qeydê de were şandin tê bikar anîn.
Bi vî awayî, du komên keys hene. Ya yekem bişkojên karûbar û bişkojkên berûyê vedihewîne - ew tenê di çarçoweya DPKI de watedar in. Koma duyemîn mifteyên asayî pêk tîne - dibe ku qada wan cûda be û ji hêla karên serîlêdanê yên ku ew tê de têne bikar anîn ve têne destnîşankirin. Di heman demê de, DPKI yekbûn û rastbûna mifteyên gelemperî yên asayî misoger dike.
Nîşe: Dibe ku cotê mifteya karûbarê ji saziyên cûda yên DPKI re were zanîn. Mînakî, dibe ku ji bo her kesî yek be. Ji ber vê sedemê ye ku dema ku îmzeya her danûstendinek ne-sifir çêdike, du mifteyên veşartî têne bikar anîn, yek ji wan mifteya berîkê ye - ew tenê ji xwediyê berîka re tê zanîn, ku di heman demê de xwediyê gelek tiştên asayî ye. mifteyên giştî. Hemî kilîtan wateya xwe heye. Mînakî, her gav gengaz e ku were îsbat kirin ku danûstendin ji hêla mijarek qeydkirî ya DPKI ve hatî tomar kirin, ji ber ku îmze jî li ser mifteyek karûbarê veşartî hatî çêkirin. Û tu destdirêjî nabe, wek êrîşên DOS, ji ber ku xwedan ji bo her danûstendinê dide.
Hemî danûstendinên ku dişopînin yeka sifir bi heman rengî têne çêkirin: Mifteya giştî (ne berûyê, wekî di rewşa danûstendina sifir de, lê ji cotek mifteya asayî) bi du fonksiyonên hash SHA256 û RIPEMD160 ve tê meşandin. Bi vî awayî daneyên qada sêyemîn pêk tê. Qada çaremîn agahdariya pêvek vedihewîne (mînak, agahdariya li ser rewşa heyî, tarîxên qedandinê, demjimêr, nasnameyên algorîtmayên krîpto-algorîtmayên hatine bikar anîn, hwd.). Qada pêncemîn mifteya giştî ya ji cotê mifteya karûbarê vedihewîne. Bi alîkariya wê, wê hingê dê îmzeya dîjîtal were kontrol kirin, ji ber vê yekê ew ê were dubare kirin. Werin em hewcedariya nêzîkatiyek wiha rewa bikin.
Bînin bîra xwe ku danûstendinek têkevin hewzek û li wir tê hilanîn heya ku were pêvajo kirin. Hilberîna di hewzê de bi xetereyek diyarkirî ve girêdayî ye - daneyên danûstendinê dikare were derewîn kirin. Xwedî daneyên danûstendinê bi îmzeyek dîjîtal a elektronîkî piştrast dike. Mifteya giştî ya ji bo verastkirina vê îmzeya dîjîtal bi eşkere di yek ji qadên danûstendinê de tê destnîşan kirin û dûv re têkevin qeydê. Taybetmendiyên pêvajoyek danûstendinê wiha ne ku êrîşkar karibe daneyan li gorî daxwaza xwe biguhezîne û dûv re wê bi karanîna mifteya xweya veşartî verast bike, û ji bo verastkirina îmzeya dîjîtal di danûstendinê de mifteyek gelemperî ya hevgirtî destnîşan bike. Ger rastbûn û yekitî tenê bi îmzeya dîjîtal were misoger kirin, wê hingê sextekariyek wusa dê ji nedîtî ve bê. Lêbelê, heke, ji bilî îmzeya dîjîtal, mekanîzmayek zêde hebe ku hem arşîvkirin û hem jî domandina agahdariya hilanîn misoger dike, wê hingê sextekarî dikare were tespît kirin. Ji bo vê yekê, bes e ku meriv mifteya giştî ya rastîn a xwedan têxe nav qeydê. Ka em rave bikin ka ev çawa dixebite.
Bila êrîşkar daneyên danûstendinê çêbike. Ji xala kilîtan û îmzeyên dîjîtal, vebijarkên jêrîn mimkun in:
1. Êrîşkar mifteya xwe ya giştî di danûstendinê de bi cîh dike dema ku îmzeya dîjîtal a xwedan nayê guhertin.
2. Êrîşkar li ser mifteya xwe ya taybet îmzayek dîjîtal çêdike, lê mifteya giştî ya xwediyê xwe neguherîne.
3. Êrîşkar li ser mifteya xwe ya taybet îmzeyek dîjîtal diafirîne û di danûstendinê de kilîtek giştî ya cotkirî bi cîh dike.
Eşkere ye, vebijarkên 1 û 2 bêwate ne, ji ber ku ew ê her gav di dema verastkirina îmzeya dîjîtal de werin tespît kirin. Tenê vebijarka 3 watedar e, û heke êrîşkar li ser mifteya xweya veşartî îmzeyek dîjîtal çêbike, wê hingê ew neçar dibe ku di danûstendinê de mifteyek gelemperî ya hevgirtî, ji mifteya giştî ya xwedan cûda biparêze. Ev yekane rê ye ku êrîşkar daneyên sexte ferz bike.
Ka em bihesibînin ku xwediyê cotek mifteyên sabît heye - taybet û gelemperî. Bila daneyên bi îmzeya dîjîtal bi karanîna mifteya veşartî ya ji vê cotê ve were pejirandin, û mifteya giştî di danûstendinê de were destnîşan kirin. Werin em jî texmîn bikin ku ev mifteya giştî berê ketiye nav qeydê û rastiya wê bi pêbawer ve hatî verast kirin. Dûv re wê sextekarî bi vê rastiyê were destnîşan kirin ku mifteya giştî ya danûstendinê bi mifteya giştî ya ji qeydê re têkildar nake.
Let us up. Dema ku daneyên danûstendina yekem a xwedan hilberandin, pêdivî ye ku rastiya mifteya giştî ya ku di nav qeydê de hatî verast kirin verast bikin. Ji bo kirina vê yekê, mifteya ji qeydê bixwînin û wê bi mifteya giştî ya rastîn a xwedan di hundurê perimeterê ewlehiyê de (herêma bêhêzbûna têkildar) bidin ber hev. Ger rastbûna mifteyê were pejirandin û domdariya wê di dema danînê de were garantî kirin, wê hingê rastiya mifta ji danûstendina paşîn bi hêsanî dikare were pejirandin / red kirin bi berhevkirina wê bi mifteya ji qeydê re. Bi gotinek din, mifteya ji qeydê wekî mînakek referansê tê bikar anîn. Hemî danûstendinên xwediyên din bi heman rengî têne kirin.
Danûstandin ji hêla îmzeyek dîjîtal a elektronîkî ve hatî pejirandin - li vir bişkojên veşartî hewce ne, û ne yek, lê du yek carî - miftek karûbar û kilîtek walletê. Bi karanîna du bişkojên veşartî, asta ewlehiyê ya pêwîst tê peyda kirin - her tiştî, mifteya veşartî ya karûbarê dikare ji bikarhênerên din re were zanîn, dema ku mifteya veşartî ya walletê tenê ji xwediyê cotê mifteya asayî re tê zanîn. Me ji vê îmzaya du-kilît re got îmzeyek dîjîtal a "hevgirtî".
Verastkirina danûstendinên ne-null bi karanîna du mifteyên gelemperî têne kirin: wallet û mifteya karûbarê. Pêvajoya verastkirinê dikare di du qonaxên sereke de were dabeş kirin: ya yekem kontrolkirina danûstendina mifteya giştî ya berîkê ye, û ya duyemîn jî kontrolkirina îmzeya dîjîtal a elektronîkî ya danûstendinê ye, heman yekgirtî ya ku bi karanîna du bişkokên veşartî hatî çêkirin ( wallet û karûbar). Ger derbasbûna îmzaya dîjîtal were pejirandin, wê hingê piştî verastkirina zêde, danûstendin di qeydê de tê tomar kirin.
Dibe ku pirsek mentiqî derkeve: meriv çawa kontrol dike ka danûstendinek di forma danûstendinek sifir de girêdayî zincîrek taybetî ya bi "root" e? Ji bo vê armancê, pêvajoya verastkirinê bi qonaxek din ve tê zêdekirin - kontrolkirina girêdanê. Li vê derê em ê hewceyê daneyên du zeviyên pêşîn, yên ku me heya nuha paşguh kiriye, hewce bike.
Ka em bifikirin ku pêdivî ye ku em kontrol bikin ka danûstendina No. 3 bi rastî piştî danûstendina No. 2 tê an na. Ji bo kirina vê yekê, bi karanîna rêbaza hevberdanê ya hevgirtî, nirxa fonksiyona hash ji bo daneyên ji zeviyên sêyemîn, çaremîn û pêncemîn ên danûstendina No. 2 tê hesibandin. Dûv re berhevkirina daneyan ji qada yekem a danûstendina No. 3 û nirxa fonksiyona hash a ku berê hatî bidestxistin ji bo daneyên ji qadên sêyemîn, çarem û pêncem ên danûstendina No. 2 pêk tê. Hemî ev jî bi du fonksiyonên hash SHA256 û RIPEMD160 ve têne rêve kirin. Ger nirxa wergirtî bi daneyên di qada duyemîn a danûstendina No. Ev di jimareyên jêrîn de bi zelalî tê xuyang kirin.
Bi gelemperî, teknolojiya ji bo hilberandin û ketina agahiyek nav qeydê tam bi vî rengî xuya dike. Nîşanek dîtbar a pêvajoya avakirina zincîra ragihandinê di jimareya jêrîn de tê pêşkêş kirin:
Di vê nivîsê de, em ê li ser hûrguliyên ku bê guman hene nesekinin û vegerin li ser nîqaşkirina ramana binesaziyek mifteya giştî ya nenavendî.
Ji ber vê yekê, ji ber ku serlêder bixwe serîlêdanek ji bo qeydkirina agahdariyan pêşkêş dike, ku ne di databasa CA-yê de, lê di qeydê de têne hilanîn, divê pêkhateyên mîmarî yên sereke yên DPKI bêne hesibandin:
1. Qeyda agahdariyên derbasdar (RDN).
2. Qeyda agahdariyên betalkirî (RON).
3. Qeyda agahdariyên rawestandî (RPN).
Agahdariya li ser bişkokên giştî di RDN/RON/RPN de di forma nirxên fonksiyona haş de têne hilanîn. Di heman demê de hêjayî gotinê ye ku dema ku agahdariya li ser rewşa mifteyek gelemperî ya gelemperî (vekêşandin, sekinandin, hwd.) têkevin nav qeydên cûda, an zincîreyên cihê, an jî zincîrek wekî beşek ji qeydek yekane, ev dikarin bibin tomarên cûda, an zincîreyên cûda. qada çaremîn a avahiya daneyê di forma nirxa kodê ya têkildar de. Ji bo pêkanîna mîmarî ya DPKI gelek vebijarkên cihêreng hene, û bijartina yek an ya din bi çend faktoran ve girêdayî ye, mînakî, pîvanên xweşbîniyê yên wekî lêçûna bîranîna dirêj-dirêj ji bo hilanîna mifteyên gelemperî, hwd.
Ji ber vê yekê, DPKI dibe ku derkeve holê, heke ne hêsan be, wê hingê bi kêmanî di warê tevliheviya mîmarî de bi çareseriyek navendî re were berhev kirin.
Pirsa sereke dimîne - Kîjan qeyd ji bo pêkanîna teknolojiyê guncan e?
Pêdiviya sereke ji bo qeydkirinê kapasîteya hilberîna danûstendinên her celebî ye. Nimûneya herî navdar a ledger tora Bitcoin e. Lê dema ku teknolojiya ku li jor hatî behs kirin, hin zehmetî derdikevin holê: tixûbên zimanê nivîsandinê yê heyî, nebûna mekanîzmayên hewce yên ji bo hilberandina berhevokên keyfî yên daneyan, rêbazên ji bo çêkirina danûstendinên celebek kêfî, û hêj bêtir.
Me li ENCRY hewl da ku pirsgirêkên ku li jor hatine formule kirin çareser bikin û qeydek pêşxist, ku, bi dîtina me, çend avantajên wê hene, ev jî:
- gelek celeb danûstendinan piştgirî dike: ew dikare hem malûmilkan biguhezîne (ango, danûstendinên darayî pêk bîne) hem jî bi avahiyek keyfî danûstendinan biafirîne,
- pêşdebiran xwedan zimanê bernamenûsê yê xwedan PrismLang hene, ku dema çareserkirina pirsgirêkên cûrbecûr teknolojîk nermbûna pêwîst peyda dike,
- mekanîzmayek ji bo hilberandina daneyên keyfî tê peyda kirin.
Ger em nêzîkatiyek hêsan bikin, wê hingê rêzika jêrîn pêk tê:
- Serlêder bi DPKI re qeyd dike û berîka dîjîtal distîne. Navnîşana walletê nirxa hashê ya mifteya giştî ya walletê ye. Mifteya taybet a walletê tenê ji serlêder re tê zanîn.
- Mijara qeydkirî gihîştina mifteya veşartî ya karûbarê tê dayîn.
- Mijar danûstendinek sifir çêdike û wê bi îmzeyek dîjîtal bi karanîna mifteya nehênî ya walletê verast dike.
- Ger danûstendinek ji bilî sifirê were çêkirin, ew ji hêla îmzeyek dîjîtal a elektronîkî ve bi karanîna du bişkojên veşartî tê pejirandin: walletek û yek karûbar.
- Mijar danûstendinek pêşkêşî hewzê dike.
- Noda tora ENCRY danûstendinê ji hewzê dixwîne û îmzeya dîjîtal, û her weha girêdana danûstendinê kontrol dike.
- Ger îmzaya dîjîtal derbasdar be û girêdan were pejirandin, wê hingê ew danûstendinê ji bo têketina qeydê amade dike.
Li vir qeyd wekî databasek belavkirî tevdigere ku agahdariya di derbarê agahdariya derbasdar, betalkirî û rawestandî de hilîne.
Bê guman, desentralîzasyon ne dermanek e. Pirsgirêka bingehîn a erêkirina bikarhênerê bingehîn li tu derê winda nabe: heke niha verastkirina serlêder ji hêla CR ve tê kirin, wê hingê di DPKI de tê pêşniyar kirin ku verastkirinê ji endamên civakê re were veguheztin, û motîvasyona darayî bikar bînin da ku çalakiyê teşwîq bikin. Teknolojiya verastkirina çavkaniya vekirî baş tê zanîn. Bandoriya verastkirina weha di pratîkê de hatî pejirandin. Werin em dîsa çend lêkolînên payebilind ên ji hêla weşana serhêl Bellingcat ve bi bîr bînin.
Lê bi giştî ev wêne derdikeve holê: DPKI derfetek e ji bo rastkirina gelek kêmasiyên PKI-ya navendî, eger ne hemî.
Aboneya Habrablog-a me bibin, em plan dikin ku bi aktîvî vekolîn û pêşkeftina xwe bidomînin, û bişopînin , heke hûn nexwazin nûçeyên din ên di derbarê projeyên ENCRY de winda bikin.
Source: www.habr.com