ProHoster > blog > Utawala > DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Sio siri kwamba moja ya zana za msaidizi zinazotumiwa kawaida, bila ambayo ulinzi wa data katika mitandao ya wazi haiwezekani, ni teknolojia ya cheti cha digital. Hata hivyo, sio siri kwamba drawback kuu ya teknolojia ni uaminifu usio na masharti katika vituo vinavyotoa vyeti vya digital. Mkurugenzi wa Teknolojia na Ubunifu katika ENCRY Andrey Chmora alipendekeza mbinu mpya ya kuandaa miundombinu muhimu ya umma (Miundombinu muhimu ya Umma, PKI), ambayo itasaidia kuondoa mapungufu ya sasa na ambayo hutumia teknolojia ya leja iliyosambazwa (blockchain). Lakini mambo ya kwanza kwanza.

Iwapo unajua jinsi miundombinu yako ya sasa ya ufunguo wa umma inavyofanya kazi na unajua mapungufu yake kuu, unaweza kuruka kile tunachopendekeza kubadilisha hapa chini.

Saini za dijiti na vyeti ni nini?Mwingiliano kwenye mtandao daima unahusisha uhamisho wa data. Sote tuna nia ya kuhakikisha kuwa data inatumwa kwa usalama. Lakini usalama ni nini? Huduma za usalama zinazotafutwa sana ni usiri, uadilifu na uhalisi. Kwa kusudi hili, mbinu za cryptography asymmetric, au cryptography na ufunguo wa umma, hutumiwa kwa sasa.

Wacha tuanze na ukweli kwamba kutumia njia hizi, masomo ya mwingiliano lazima yawe na funguo mbili za jozi za kibinafsi - za umma na za siri. Kwa msaada wao, huduma za usalama tulizotaja hapo juu hutolewa.

Je, usiri wa uhamishaji taarifa unafikiwaje? Kabla ya kutuma data, mteja anayetuma husimba kwa njia fiche (inabadilisha kwa njia fiche) data iliyofunguliwa kwa kutumia ufunguo wa umma wa mpokeaji, na mpokeaji anasimbua maandishi ya siri yaliyopokelewa kwa kutumia ufunguo wa siri uliooanishwa.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Je, uadilifu na uhalisi wa taarifa zinazosambazwa hufikiwaje? Ili kutatua tatizo hili, utaratibu mwingine uliundwa. Data iliyo wazi haijasimbwa kwa njia fiche, lakini matokeo ya kutumia kitendakazi cha heshi ya kriptografia - picha "iliyobanwa" ya mlolongo wa data ya ingizo - hupitishwa kwa njia iliyosimbwa. Matokeo ya hashing kama hiyo huitwa "digest", na imesimbwa kwa kutumia ufunguo wa siri wa mteja anayetuma ("shahidi"). Kama matokeo ya kusimba digest, saini ya dijiti hupatikana. Ni, pamoja na maandishi wazi, hupitishwa kwa mpokeaji mteja ("kithibitishaji"). Anasimbua saini ya dijiti kwenye ufunguo wa umma wa shahidi na kuilinganisha na matokeo ya kutumia kipengele cha kitendakazi cha kriptografia, ambacho kithibitishaji huhesabu kwa kujitegemea kulingana na data iliyo wazi iliyopokelewa. Ikiwa zinalingana, hii inaonyesha kuwa data ilitumwa kwa njia halisi na kamili na anayeituma, na haikurekebishwa na mshambulizi.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Nyenzo nyingi zinazofanya kazi na data ya kibinafsi na maelezo ya malipo (benki, makampuni ya bima, mashirika ya ndege, mifumo ya malipo, pamoja na tovuti za serikali kama vile huduma ya kodi) hutumia kikamilifu mbinu za cryptography zisizolinganishwa.

Cheti cha kidijitali kina uhusiano gani nacho? Ni rahisi. Mchakato wa kwanza na wa pili unahusisha funguo za umma, na kwa kuwa zina jukumu kuu, ni muhimu sana kuhakikisha kuwa funguo ni za mtumaji (shahidi, katika kesi ya uthibitishaji wa sahihi) au mpokeaji, na sio. nafasi yake kuchukuliwa na funguo za washambuliaji. Hii ndiyo sababu vyeti vya dijitali vipo ili kuhakikisha ukweli na uadilifu wa ufunguo wa umma.

Kumbuka: uhalisi na uadilifu wa ufunguo wa umma unathibitishwa kwa njia sawa kabisa na uhalisi na uadilifu wa data ya umma, yaani, kwa kutumia sahihi ya kielektroniki ya dijiti (EDS).
Vyeti vya digital vinatoka wapi?Mamlaka za uthibitishaji zinazoaminika, au Mamlaka za Udhibitishaji (CAs), zina jukumu la kutoa na kudumisha vyeti vya kidijitali. Mwombaji anaomba utoaji wa cheti kutoka kwa CA, hupitia kitambulisho katika Kituo cha Usajili (CR) na anapokea cheti kutoka kwa CA. CA inahakikisha kwamba ufunguo wa umma kutoka kwa cheti ni mali ya huluki haswa ambayo ilitolewa.

Ikiwa hutathibitisha ukweli wa ufunguo wa umma, basi mshambuliaji wakati wa kuhamisha / kuhifadhi ufunguo huu anaweza kuchukua nafasi yake na yake mwenyewe. Ikiwa uingizwaji umefanyika, mshambuliaji ataweza kusimbua kila kitu ambacho mteja anayetuma hutuma kwa anayepokea, au kubadilisha data iliyofunguliwa kwa hiari yake mwenyewe.

Vyeti vya kidijitali vinatumika popote ambapo usimbaji fiche usiolinganishwa unapatikana. Moja ya vyeti vya kawaida vya dijiti ni vyeti vya SSL vya mawasiliano salama kupitia itifaki ya HTTPS. Mamia ya makampuni yaliyosajiliwa katika maeneo mbalimbali ya mamlaka yanahusika katika kutoa vyeti vya SSL. Hisa kuu iko kwenye vituo vikubwa vitano hadi kumi vinavyoaminika: IdenTrust, Comodo, GoDaddy, GlobalSign, DigiCert, CERTUM, Actalis, Secom, Trustwave.

CA na CR ni vipengele vya PKI, ambavyo pia ni pamoja na:

  • Fungua saraka - hifadhidata ya umma ambayo hutoa hifadhi salama ya vyeti vya kidijitali.
  • Orodha ya kubatilisha cheti - hifadhidata ya umma ambayo hutoa hifadhi salama ya vyeti vya dijiti vya funguo za umma zilizobatilishwa (kwa mfano, kwa sababu ya maelewano ya ufunguo wa kibinafsi uliooanishwa). Masomo ya miundombinu yanaweza kufikia hifadhidata hii kwa kujitegemea, au wanaweza kutumia Itifaki maalum ya Hali ya Uthibitishaji Mtandaoni (OCSP), ambayo hurahisisha mchakato wa uthibitishaji.
  • Watumiaji wa cheti - masomo ya PKI yaliyohudumiwa ambao wameingia katika makubaliano ya mtumiaji na CA na kuthibitisha sahihi ya dijiti na/au kusimba data kwa njia fiche kulingana na ufunguo wa umma kutoka kwa cheti.
  • Waandishi - inahudumia masomo ya PKI ambao wanamiliki ufunguo wa siri uliooanishwa na ufunguo wa umma kutoka kwa cheti, na ambao wameingia katika makubaliano ya mteja na CA. Msajili anaweza kuwa mtumiaji wa cheti wakati huo huo.

Kwa hivyo, vyombo vinavyoaminika vya miundombinu muhimu ya umma, ambayo ni pamoja na CA, CRs na saraka huria, vinawajibika kwa:

1. Uthibitishaji wa uhalisi wa utambulisho wa mwombaji.
2. Kuweka wasifu cheti cha ufunguo wa umma.
3. Kutoa cheti cha ufunguo wa umma kwa mwombaji ambaye utambulisho wake umethibitishwa kwa uhakika.
4. Badilisha hali ya cheti cha ufunguo wa umma.
5. Kutoa taarifa kuhusu hali ya sasa ya cheti cha ufunguo wa umma.

Hasara za PKI, ni nini?Dosari ya kimsingi ya PKI ni uwepo wa vyombo vinavyoaminika.
Watumiaji lazima waamini CA na CR bila masharti. Lakini, kama inavyoonyesha mazoezi, uaminifu usio na masharti umejaa matokeo mabaya.

Katika kipindi cha miaka kumi iliyopita, kumekuwa na kashfa kadhaa kuu katika eneo hili zinazohusiana na kuathirika kwa miundombinu.

- mnamo 2010, programu hasidi ya Stuxnet ilianza kuenea mkondoni, ikitiwa saini kwa kutumia cheti cha dijiti kilichoibiwa kutoka kwa RealTek na JMicron.

- Mnamo 2017, Google ilishutumu Symantec kwa kutoa idadi kubwa ya vyeti vilivyoghushi. Wakati huo, Symantec ilikuwa mojawapo ya CAs kubwa zaidi katika suala la kiasi cha uzalishaji. Katika kivinjari cha Google Chrome 70, usaidizi wa vyeti vilivyotolewa na kampuni hii na vituo vyake vilivyounganishwa vya GeoTrust na Thawte ulisimamishwa kabla ya tarehe 1 Desemba 2017.

CA ziliathiriwa, na matokeo yake kila mtu alitesekaβ€”CAs zenyewe, pamoja na watumiaji na waliojisajili. Imani katika miundombinu imedhoofishwa. Kwa kuongeza, vyeti vya digital vinaweza kuzuiwa katika mazingira ya migogoro ya kisiasa, ambayo pia itaathiri uendeshaji wa rasilimali nyingi. Hii ndiyo hasa iliogopa miaka kadhaa iliyopita katika utawala wa rais wa Kirusi, ambapo mwaka wa 2016 walijadili uwezekano wa kuunda kituo cha vyeti cha serikali ambacho kingetoa vyeti vya SSL kwa maeneo kwenye RuNet. Hali ya sasa ya mambo ni kwamba hata portaler za serikali nchini Urusi kutumia vyeti vya kidijitali vinavyotolewa na makampuni ya Kimarekani Comodo au Thawte (kampuni tanzu ya Symantec).

Kuna shida nyingine - swali uthibitishaji wa msingi (uthibitishaji) wa watumiaji. Jinsi ya kutambua mtumiaji ambaye amewasiliana na CA kwa ombi la kutoa cheti cha dijiti bila mawasiliano ya kibinafsi ya moja kwa moja? Sasa hii inatatuliwa kwa hali kulingana na uwezo wa miundombinu. Kitu kinachukuliwa kutoka kwa rejista wazi (kwa mfano, habari kuhusu vyombo vya kisheria vinavyoomba vyeti); katika hali ambapo waombaji ni watu binafsi, ofisi za benki au ofisi za posta zinaweza kutumika, ambapo utambulisho wao unathibitishwa kwa kutumia hati za kitambulisho, kwa mfano, pasipoti.

Tatizo la kughushi vyeti kwa lengo la kuiga ni la msingi. Hebu tukumbuke kwamba hakuna ufumbuzi kamili wa tatizo hili kutokana na sababu za habari-kinadharia: bila kuwa na habari ya kuaminika ya priori, haiwezekani kuthibitisha au kukataa ukweli wa somo fulani. Kama sheria, kwa uthibitishaji ni muhimu kuwasilisha seti ya hati zinazothibitisha utambulisho wa mwombaji. Kuna njia nyingi tofauti za uthibitishaji, lakini hakuna hata mmoja wao hutoa dhamana kamili ya uhalisi wa hati. Ipasavyo, uhalisi wa utambulisho wa mwombaji pia hauwezi kuhakikishwa.

Je, mapungufu haya yanawezaje kuondolewa?Ikiwa shida za PKI katika hali yake ya sasa zinaweza kuelezewa na serikali kuu, basi ni busara kudhani kuwa ugatuaji utasaidia kuondoa mapungufu yaliyotambuliwa.

Ugatuaji haimaanishi uwepo wa vyombo vinavyoaminika - ikiwa utaunda miundombinu muhimu ya umma iliyogatuliwa (Miundombinu muhimu ya Umma iliyogatuliwa, DPKI), basi hakuna CA wala CR zinahitajika. Wacha tuachane na dhana ya cheti cha dijiti na tutumie sajili iliyosambazwa kuhifadhi habari kuhusu funguo za umma. Kwa upande wetu, tunaita rejista database ya mstari inayojumuisha rekodi za mtu binafsi (vitalu) zilizounganishwa kwa kutumia teknolojia ya blockchain. Badala ya cheti cha dijiti, tutaanzisha dhana ya "arifa".

Jinsi mchakato wa kupokea, kuthibitisha na kughairi arifa utakavyoonekana katika DPKI inayopendekezwa:

1. Kila mwombaji anawasilisha maombi ya taarifa kwa kujitegemea kwa kujaza fomu wakati wa usajili, baada ya hapo anaunda shughuli ambayo imehifadhiwa katika bwawa maalumu.

2. Taarifa kuhusu ufunguo wa umma, pamoja na maelezo ya mmiliki na metadata nyingine, huhifadhiwa katika rejista iliyosambazwa, na si katika cheti cha digital, kwa ajili ya utoaji ambao katika PKI ya kati CA inawajibika.

3. Uthibitishaji wa uhalali wa utambulisho wa mwombaji unafanywa baada ya ukweli na jitihada za pamoja za jumuiya ya watumiaji wa DPKI, na si kwa CR.

4. Ni mmiliki wa arifa kama hiyo pekee anayeweza kubadilisha hali ya ufunguo wa umma.

5. Mtu yeyote anaweza kufikia leja iliyosambazwa na kuangalia hali ya sasa ya ufunguo wa umma.

Kumbuka: Uthibitishaji wa jumuiya wa utambulisho wa mwombaji unaweza kuonekana kuwa si wa kutegemewa kwa mtazamo wa kwanza. Lakini lazima tukumbuke kwamba siku hizi watumiaji wote wa huduma za kidijitali bila shaka huacha alama ya kidijitali, na mchakato huu utaendelea kushika kasi. Fungua rejista za elektroniki za vyombo vya kisheria, ramani, kuweka dijiti ya picha za ardhi, mitandao ya kijamii - yote haya ni zana zinazopatikana kwa umma. Tayari zimetumika kwa mafanikio wakati wa uchunguzi na waandishi wa habari na vyombo vya kutekeleza sheria. Kwa mfano, inatosha kukumbuka uchunguzi wa Bellingcat au timu ya pamoja ya uchunguzi ya JIT, ambayo inachunguza hali ya ajali ya Boeing ya Malaysia.

Kwa hivyo miundombinu muhimu ya umma iliyogatuliwa ingefanyaje kazi kwa vitendo? Wacha tukae juu ya maelezo ya teknolojia yenyewe, ambayo sisi iliyopewa hati miliki mwaka 2018 na kwa haki tunaichukulia kama ujuzi wetu.

Fikiria kuna mmiliki fulani ambaye anamiliki funguo nyingi za umma, ambapo kila ufunguo ni shughuli fulani ambayo imehifadhiwa kwenye usajili. Kwa kukosekana kwa CA, unawezaje kuelewa kuwa funguo zote ni za mmiliki huyu? Ili kutatua tatizo hili, shughuli ya sifuri imeundwa, ambayo ina taarifa kuhusu mmiliki na mkoba wake (ambayo tume ya kuweka shughuli katika Usajili inatolewa). Muamala batili ni aina ya "nanga" ambayo shughuli zifuatazo zilizo na data kuhusu funguo za umma zitaambatishwa. Kila shughuli kama hiyo ina muundo maalum wa data, au kwa maneno mengine, arifa.

Arifa ni seti iliyopangwa ya data inayojumuisha sehemu za utendaji na ikijumuisha taarifa kuhusu ufunguo wa umma wa mmiliki, ambao usaidizi wake unathibitishwa kwa kuwekwa katika mojawapo ya rekodi zinazohusiana za sajili iliyosambazwa.

Swali linalofuata la kimantiki ni jinsi gani shughuli ya sifuri inaundwa? Muamala batili - kama zile zinazofuata - ni muunganisho wa sehemu sita za data. Wakati wa kuundwa kwa shughuli ya sifuri, jozi muhimu ya mkoba inahusika (funguo za siri za umma na za paired). Jozi hii ya funguo inaonekana wakati mtumiaji anasajili mkoba wake, ambayo tume ya kuweka shughuli ya sifuri kwenye Usajili na, baadaye, shughuli na arifa zitatozwa.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Kama inavyoonyeshwa kwenye mchoro, muhtasari wa ufunguo wa umma wa pochi hutolewa kwa kutumia kwa mpangilio vitendakazi vya SHA256 na RIPEMD160. Hapa RIPEMD160 inawajibika kwa uwakilishi kamili wa data, ambayo upana wake hauzidi bits 160. Hii ni muhimu kwa sababu Usajili sio hifadhidata ya bei nafuu. Ufunguo wa umma yenyewe umeingizwa kwenye uwanja wa tano. Sehemu ya kwanza ina data inayoanzisha muunganisho wa shughuli ya awali. Kwa shughuli ya sifuri, uwanja huu hauna chochote, ambacho hutofautisha kutoka kwa shughuli zinazofuata. Sehemu ya pili ni data ya kuangalia muunganisho wa shughuli. Kwa ufupi, tutaita data katika uwanja wa kwanza na wa pili "kiungo" na "angalia", kwa mtiririko huo. Yaliyomo katika sehemu hizi yanatolewa na hashing ya mara kwa mara, kama inavyoonyeshwa kwa kuunganisha shughuli ya pili na ya tatu kwenye kielelezo kilicho hapa chini.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Data kutoka kwa nyanja tano za kwanza imethibitishwa na saini ya elektroniki, ambayo huzalishwa kwa kutumia ufunguo wa siri wa mkoba.

Hiyo ndiyo yote, shughuli ya null inatumwa kwenye bwawa na baada ya uthibitishaji wa mafanikio umeingia kwenye Usajili. Sasa unaweza "kuunganisha" shughuli zifuatazo kwake. Wacha tuangalie jinsi shughuli zingine isipokuwa sifuri zinaundwa.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Jambo la kwanza ambalo labda lilichukua jicho lako ni wingi wa jozi muhimu. Mbali na jozi za ufunguo wa mkoba tayari unaojulikana, jozi za kawaida na za huduma hutumiwa.

Ufunguo wa kawaida wa umma ndio kila kitu kilianzishwa. Ufunguo huu unahusika katika taratibu na michakato mbalimbali inayojitokeza katika ulimwengu wa nje (benki na shughuli nyingine, mtiririko wa hati, nk). Kwa mfano, ufunguo wa siri kutoka kwa jozi ya kawaida inaweza kutumika kutengeneza saini za kidijitali za hati mbalimbali - maagizo ya malipo, n.k., na ufunguo wa umma unaweza kutumika kuthibitisha sahihi hii ya dijiti na utekelezaji unaofuata wa maagizo haya, mradi tu. ni halali.

Jozi ya huduma imetolewa kwa somo la DPKI lililosajiliwa. Jina la jozi hii linalingana na kusudi lake. Kumbuka kwamba wakati wa kuunda / kuangalia shughuli ya sifuri, funguo za huduma hazitumiwi.

Wacha tufafanue madhumuni ya funguo tena:

  1. Vifunguo vya Wallet hutumika kuzalisha/kuthibitisha muamala batili na muamala mwingine wowote usio batili. Ufunguo wa kibinafsi wa mkoba unajulikana tu kwa mmiliki wa mkoba, ambaye pia ni mmiliki wa funguo nyingi za kawaida za umma.
  2. Ufunguo wa kawaida wa umma ni sawa kwa kusudi na ufunguo wa umma ambao cheti hutolewa katika PKI ya kati.
  3. Jozi ya ufunguo wa huduma ni ya DPKI. Ufunguo wa siri hutolewa kwa huluki zilizosajiliwa na hutumiwa wakati wa kutengeneza saini za dijiti kwa miamala (isipokuwa kwa miamala sifuri). Umma hutumika kuthibitisha sahihi ya kielektroniki ya dijiti ya shughuli kabla ya kuchapishwa kwenye sajili.

Kwa hivyo, kuna vikundi viwili vya funguo. Ya kwanza inajumuisha funguo za huduma na funguo za mkoba - zina maana tu katika muktadha wa DPKI. Kundi la pili linajumuisha funguo za kawaida - upeo wao unaweza kutofautiana na umeamua na kazi za maombi ambazo hutumiwa. Wakati huo huo, DPKI inahakikisha uadilifu na uhalisi wa funguo za kawaida za umma.

Kumbuka: Jozi ya ufunguo wa huduma inaweza kujulikana kwa huluki tofauti za DPKI. Kwa mfano, inaweza kuwa sawa kwa kila mtu. Ni kwa sababu hii kwamba wakati wa kutengeneza saini ya kila shughuli isiyo ya sifuri, funguo mbili za siri hutumiwa, moja ambayo ni ufunguo wa mkoba - inajulikana tu kwa mmiliki wa mkoba, ambaye pia ni mmiliki wa wengi wa kawaida. funguo za umma. Vifunguo vyote vina maana yao wenyewe. Kwa mfano, daima inawezekana kuthibitisha kwamba shughuli hiyo iliingia kwenye Usajili na somo la DPKI lililosajiliwa, kwani saini pia ilitolewa kwenye ufunguo wa huduma ya siri. Na hakuwezi kuwa na matumizi mabaya, kama vile mashambulizi ya DOS, kwa sababu mmiliki hulipa kwa kila shughuli.

Shughuli zote zinazofuata sifuri zinaundwa kwa njia sawa: ufunguo wa umma (sio mkoba, kama ilivyo kwa shughuli ya sifuri, lakini kutoka kwa jozi ya ufunguo wa kawaida) huendeshwa kupitia kazi mbili za hashi SHA256 na RIPEMD160. Hivi ndivyo data ya uwanja wa tatu huundwa. Sehemu ya nne ina habari inayoambatana (kwa mfano, habari kuhusu hali ya sasa, tarehe za kumalizika muda wake, muhuri wa muda, vitambulisho vya crypto-algorithms kutumika, nk). Sehemu ya tano ina ufunguo wa umma kutoka kwa jozi ya ufunguo wa huduma. Kwa msaada wake, saini ya dijiti itaangaliwa, kwa hivyo itaigwa. Hebu tuhalalishe hitaji la mbinu kama hiyo.

Kumbuka kwamba shughuli inaingizwa kwenye bwawa na kuhifadhiwa hapo hadi itakapochakatwa. Kuhifadhi kwenye bwawa kunahusishwa na hatari fulani - data ya muamala inaweza kupotoshwa. Mmiliki anaidhinisha data ya muamala kwa saini ya kielektroniki ya dijiti. Ufunguo wa umma wa kuthibitisha sahihi hii ya dijiti umeonyeshwa bayana katika mojawapo ya sehemu za muamala na kisha kuingizwa kwenye sajili. Sifa za kipekee za uchakataji wa muamala ni kwamba mshambulizi anaweza kubadilisha data kwa hiari yake mwenyewe na kisha kuithibitisha kwa kutumia ufunguo wake wa siri, na kuonyesha ufunguo wa umma uliooanishwa kwa ajili ya kuthibitisha sahihi ya dijiti katika muamala. Ikiwa uhalisi na uadilifu utahakikishwa pekee kupitia sahihi ya dijiti, basi ughushi kama huo hautatambuliwa. Walakini, ikiwa, pamoja na saini ya dijiti, kuna utaratibu wa ziada ambao unahakikisha kuhifadhi kumbukumbu na kuendelea kwa habari iliyohifadhiwa, basi uwongo unaweza kugunduliwa. Ili kufanya hivyo, inatosha kuingiza ufunguo wa umma wa kweli wa mmiliki kwenye Usajili. Hebu tueleze jinsi hii inavyofanya kazi.

Ruhusu mvamizi kubuni data ya muamala. Kwa mtazamo wa funguo na saini za dijiti, chaguzi zifuatazo zinawezekana:

1. Mshambulizi anaweka ufunguo wake wa umma katika shughuli ya ununuzi huku saini ya dijiti ya mmiliki ikiwa haijabadilika.
2. Mshambulizi huunda saini ya dijiti kwenye ufunguo wake wa faragha, lakini huacha ufunguo wa umma wa mmiliki bila kubadilika.
3. Mshambulizi huunda saini ya dijiti kwenye ufunguo wake wa faragha na kuweka ufunguo wa umma uliooanishwa katika shughuli ya ununuzi.

Kwa wazi, chaguo 1 na 2 hazina maana, kwani zitagunduliwa kila wakati wakati wa uthibitishaji wa saini ya dijiti. Chaguo la 3 pekee ndilo linaloeleweka, na ikiwa mshambuliaji ataunda saini ya dijiti kwenye ufunguo wake wa siri, basi analazimika kuokoa ufunguo wa umma uliooanishwa katika shughuli hiyo, tofauti na ufunguo wa umma wa mmiliki. Hii ndiyo njia pekee ya mshambulizi kulazimisha data potofu.

Hebu tuchukue kwamba mmiliki ana jozi ya kudumu ya funguo - ya faragha na ya umma. Ruhusu data idhibitishwe kwa saini ya dijiti kwa kutumia ufunguo wa siri kutoka kwa jozi hii, na ufunguo wa umma utaonyeshwa katika shughuli ya ununuzi. Wacha pia tuchukue kuwa ufunguo huu wa umma umeingizwa kwenye sajili hapo awali na uhalali wake umethibitishwa kwa uaminifu. Kisha kughushi kutaonyeshwa na ukweli kwamba ufunguo wa umma kutoka kwa shughuli haufanani na ufunguo wa umma kutoka kwa Usajili.

Hebu tuangalie. Wakati wa kusindika data ya kwanza ya ununuzi ya mmiliki, ni muhimu kuthibitisha ukweli wa ufunguo wa umma ulioingia kwenye Usajili. Ili kufanya hivyo, soma ufunguo kutoka kwa usajili na ulinganishe na ufunguo wa kweli wa umma wa mmiliki ndani ya eneo la usalama (eneo la kutoweza kuathirika). Ikiwa uhalisi wa ufunguo umethibitishwa na kuendelea kwake kunahakikishiwa juu ya kuwekwa, basi uhalisi wa ufunguo kutoka kwa shughuli inayofuata inaweza kuthibitishwa kwa urahisi / kukataliwa kwa kulinganisha na ufunguo kutoka kwa Usajili. Kwa maneno mengine, ufunguo kutoka kwa usajili hutumiwa kama sampuli ya kumbukumbu. Miamala mingine yote ya mmiliki inachakatwa vivyo hivyo.

Shughuli hiyo imethibitishwa na saini ya dijiti ya elektroniki - hapa ndipo funguo za siri zinahitajika, na sio moja, lakini mbili mara moja - ufunguo wa huduma na ufunguo wa mkoba. Shukrani kwa matumizi ya funguo mbili za siri, kiwango cha lazima cha usalama kinahakikishwa - baada ya yote, ufunguo wa siri wa huduma unaweza kujulikana kwa watumiaji wengine, wakati ufunguo wa siri wa mkoba unajulikana tu kwa mmiliki wa jozi ya ufunguo wa kawaida. Tuliita saini ya vitufe viwili kama saini ya dijiti "iliyounganishwa".

Uthibitishaji wa shughuli zisizo batili unafanywa kwa kutumia funguo mbili za umma: mkoba na ufunguo wa huduma. Mchakato wa uthibitishaji unaweza kugawanywa katika hatua mbili kuu: ya kwanza ni kuangalia kuchimba kwa ufunguo wa umma wa mkoba, na ya pili ni kuangalia saini ya dijiti ya elektroniki ya shughuli hiyo, ile ile iliyojumuishwa ambayo iliundwa kwa kutumia funguo mbili za siri. mkoba na huduma). Ikiwa uhalali wa saini ya dijiti imethibitishwa, basi baada ya uthibitisho wa ziada shughuli hiyo imeingizwa kwenye rejista.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Swali la kimantiki linaweza kutokea: jinsi ya kuangalia ikiwa shughuli ni ya mlolongo maalum na "mzizi" katika mfumo wa shughuli ya sifuri? Kwa kusudi hili, mchakato wa uthibitishaji huongezewa na hatua moja zaidi - kuangalia muunganisho. Hapa ndipo tutahitaji data kutoka kwa sehemu mbili za kwanza, ambazo hadi sasa tumepuuza.

Hebu tufikirie kuwa tunahitaji kuangalia ikiwa muamala Nambari 3 unakuja baada ya muamala Nambari 2. Ili kufanya hivyo, kwa kutumia mbinu ya pamoja ya hashing, thamani ya kazi ya heshi inakokotolewa kwa data kutoka sehemu za tatu, nne na tano za muamala Na. Kisha uunganisho wa data kutoka kwa uwanja wa kwanza wa shughuli Nambari 2 na thamani ya kazi ya hash iliyopatikana hapo awali kwa data kutoka kwa nyanja ya tatu, ya nne na ya tano ya shughuli No. Yote hii pia inaendeshwa kupitia kazi mbili za hashi SHA3 na RIPEMD2. Ikiwa thamani iliyopokelewa inalingana na data katika uwanja wa pili wa shughuli Nambari 256, basi hundi inapitishwa na uunganisho umethibitishwa. Hii inaonyeshwa kwa uwazi zaidi katika takwimu hapa chini.

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain
DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Kwa ujumla, teknolojia ya kutengeneza na kuingiza arifa kwenye rejista inaonekana kama hii. Kielelezo cha kuona cha mchakato wa kuunda msururu wa arifa kinawasilishwa katika takwimu ifuatayo:

DPKI: kuondoa mapungufu ya PKI ya kati kwa kutumia blockchain

Katika maandishi haya, hatutazingatia maelezo, ambayo bila shaka yapo, na kurudi kwenye kujadili wazo lenyewe la miundombinu muhimu ya umma iliyogawanywa.

Kwa hivyo, kwa kuwa mwombaji mwenyewe anawasilisha maombi ya usajili wa arifa, ambazo hazihifadhiwa kwenye hifadhidata ya CA, lakini katika Usajili, vipengele vikuu vya usanifu wa DPKI vinapaswa kuzingatiwa:

1. Daftari la arifa halali (RDN).
2. Rejesta ya arifa zilizofutwa (RON).
3. Daftari la arifa zilizosimamishwa (RPN).

Taarifa kuhusu funguo za umma huhifadhiwa katika RDN/RON/RPN katika mfumo wa thamani za utendakazi wa heshi. Inafaa pia kuzingatia kuwa hizi zinaweza kuwa sajili tofauti, au minyororo tofauti, au hata mlolongo mmoja kama sehemu ya sajili moja, wakati habari kuhusu hali ya ufunguo wa kawaida wa umma (kufutwa, kusimamishwa, nk) imeingizwa kwenye uwanja wa nne wa muundo wa data katika mfumo wa nambari inayolingana ya nambari. Kuna chaguzi nyingi tofauti za utekelezaji wa usanifu wa DPKI, na uchaguzi wa moja au nyingine inategemea mambo kadhaa, kwa mfano, vigezo vya uboreshaji kama gharama ya kumbukumbu ya muda mrefu ya kuhifadhi funguo za umma, nk.

Kwa hivyo, DPKI inaweza kugeuka kuwa, ikiwa si rahisi, basi angalau kulinganishwa na suluhisho la kati kwa suala la utata wa usanifu.

Swali kuu linabaki - Je, ni sajili gani inayofaa kutekeleza teknolojia?

Mahitaji makuu ya Usajili ni uwezo wa kuzalisha shughuli za aina yoyote. Mfano maarufu zaidi wa leja ni mtandao wa Bitcoin. Lakini wakati wa kutekeleza teknolojia iliyoelezwa hapo juu, shida fulani hutokea: mapungufu ya lugha iliyopo ya uandishi, ukosefu wa taratibu muhimu za usindikaji wa data ya kiholela, mbinu za kuzalisha shughuli za aina ya kiholela, na mengi zaidi.

Sisi katika ENCRY tulijaribu kusuluhisha shida zilizoundwa hapo juu na tukatengeneza sajili, ambayo, kwa maoni yetu, ina faida kadhaa, ambazo ni:

  • inasaidia aina kadhaa za shughuli: inaweza kubadilishana mali (yaani, kufanya shughuli za kifedha) na kuunda shughuli na muundo wa kiholela,
  • watengenezaji wanaweza kupata lugha ya umiliki ya programu PrismLang, ambayo hutoa kubadilika muhimu wakati wa kutatua matatizo mbalimbali ya kiteknolojia,
  • utaratibu wa usindikaji wa seti za data kiholela hutolewa.

Ikiwa tutachukua mbinu iliyorahisishwa, basi mlolongo ufuatao wa vitendo hufanyika:

  1. Mwombaji anajiandikisha na DPKI na anapokea pochi ya dijiti. Anwani ya Wallet ni thamani ya heshi ya ufunguo wa umma wa pochi. Ufunguo wa kibinafsi wa mkoba unajulikana tu kwa mwombaji.
  2. Somo lililosajiliwa linapewa ufikiaji wa ufunguo wa siri wa huduma.
  3. Somo hutoa muamala wa sifuri na huithibitisha kwa saini ya dijiti kwa kutumia ufunguo wa siri wa pochi.
  4. Ikiwa shughuli nyingine isipokuwa sifuri imeundwa, inathibitishwa na saini ya dijiti ya elektroniki kwa kutumia funguo mbili za siri: mkoba na huduma moja.
  5. Mhusika anawasilisha shughuli kwenye bwawa.
  6. Nodi ya mtandao ya ENCRY inasoma muamala kutoka kwenye bwawa na kuangalia saini ya dijiti, pamoja na muunganisho wa muamala.
  7. Ikiwa saini ya digital ni halali na uunganisho umethibitishwa, basi huandaa shughuli kwa ajili ya kuingia kwenye rejista.

Hapa sajili hufanya kama hifadhidata iliyosambazwa ambayo huhifadhi taarifa kuhusu arifa halali, zilizoghairiwa na zilizosimamishwa.

Bila shaka, ugatuaji wa madaraka si tiba. Tatizo la msingi la uthibitishaji wa msingi wa mtumiaji haipotei popote: ikiwa kwa sasa uthibitishaji wa mwombaji unafanywa na CR, basi katika DPKI inapendekezwa kukabidhi uthibitisho kwa wanachama wa jumuiya, na kutumia motisha ya kifedha ili kuchochea shughuli. Teknolojia ya uthibitishaji wa chanzo huria inajulikana sana. Ufanisi wa uthibitishaji huo umethibitishwa katika mazoezi. Hebu tena tukumbuke idadi ya uchunguzi wa hali ya juu uliofanywa na uchapishaji wa mtandaoni wa Bellingcat.

Lakini kwa ujumla, picha ifuatayo inatokea: DPKI ni fursa ya kusahihisha, ikiwa sio yote, basi mapungufu mengi ya PKI ya kati.

Jiandikishe kwa Habrablog yetu, tunapanga kuendelea kufunika utafiti wetu na maendeleo, na kufuata Twitter, ikiwa hutaki kukosa habari nyingine kuhusu miradi ya ENCRY.

Chanzo: mapenzi.com

Kuongeza maoni