Le chiavi PGP sono valide per i certificati come chiavi X.509?

6

Sto lavorando su un sistema di elaborazione delle transazioni decentralizzato che richiede sia l'autenticazione che la crittografia generale e ho una decisione progettuale da fare: dovrei usare i certificati PGP o X.509?

Mentre il mondo tende a usare X.509 per l'autenticazione (specialmente nei browser), si basano sul principio di avere un'autorità centrale per ogni certificato, il che significa che il sistema avrebbe bisogno di una CA e chiunque voglia partecipare al sistema dovrebbe avere le proprie chiavi firmate da quella CA.

PGP, d'altra parte, si basa su una "Web of Trust", dove le parti che desiderano comunicare devono semplicemente avere in comune qualsiasi parte fidata che firmeranno entrambe le chiavi. In questo caso una CA non è necessaria.

I miei obiettivi di progettazione generale preferiscono il modello Web-of-Trust, per mantenere il sistema decentralizzato, ma potrei anche avere clienti che preferiscono un modello centralizzato e non voglio proibire tale possibilità. C'è qualcosa che impedisce al principio del Web-of-Trust di lavorare con X.509? Allo stesso modo, è facile e immediato imitare le CA nel sistema di crittografia PGP? Sono intercambiabili nella pratica?

(Per qualche ragione, questo mi fa pensare alla falsa dictomia: "Sto cercando di sbattermi in un chiodo, dovrei usare una bottiglia di birra o il tacco di una scarpa?")

    
posta Chris Wenham 22.11.2010 - 18:48
fonte

1 risposta

5

I server di chiavi PGP possono fungere da punto di fiducia autorevole (simile a una CA). La cosa che mi piace di PGP keys / keyservers è che scelgo quali fonti fidarsi per costruire questo web. Nella maggior parte dei moderni sistemi operativi e applicazioni che utilizzano il modello x509 / CA / browser web ci sono problemi di "catena di fiducia" in cui esistono diversi modi per ingannare / infrangere la catena. In alternativa, puoi eseguire la tua CA, ma se lo fai e qualcuno con un certificato di firma da uno importato automaticamente (un isp / governo straniero per esempio) potrebbe inficiare la tua catena di fiducia banalmente. Non lo sapresti nemmeno.

    
risposta data 22.11.2010 - 19:10
fonte

Leggi altre domande sui tag