Verifica dell'autenticità di una chiave pubblica senza intervento manuale?

3

Nella crittografia RSA si dice che garantire l'autenticità della chiave pubblica può essere importante quanto la protezione della chiave privata.

Un modo efficace per fare ciò è che i custodi delle chiavi che ricevono la chiave (KC2) confermino manualmente l'impronta digitale della chiave pubblica con il proprietario originale (KC1) della chiave pubblica via telefono o simili.

Si potrebbe usare una chiave pubblica diversa (PK2) per firmare la chiave pubblica originale PK1), ma lo stesso problema si pone nella verifica della seconda autenticità delle chiavi pubbliche.

Esistono metodi per evitare questo intervento manuale di verifica della chiave pubblica?

    
posta Kyle Rozendo 04.06.2013 - 16:15
fonte

2 risposte

2

Stai parlando dell'infrastruttura a chiave pubblica. Questo è il motivo per cui esistono autorità di certificazione e reti di fiducia. Devi avere una parte fidata per verificare il certificato (chiave pubblica). La verifica avviene firmando il certificato utilizzando una chiave privata che è considerata affidabile dalla persona con cui verrà condiviso il certificato pubblico.

Può essere una CA centrale affidabile (o una terza parte o una CA interna per un'organizzazione a cui tutti si fidano) o può essere una rete di fiducia in cui più persone firmano il certificato quando verificano le informazioni e la fiducia è stabilito in base a quanto ti fidi delle persone che lo hanno firmato. Gli schemi esatti possono variare da una rete di fiducia a un'altra, ma nel modo più semplice, se mi fido di Bob e poi di Bob si fida di Carl, posso fidarmi di Carl poiché Carl è firmato da Bob e io mi fido di Bob. Poi se Carl si fida di Dave, posso fidarmi di Dave, ma forse un po 'meno di quanto mi fidi di Carl o Bob. C'è ancora l'azione manuale di verificare originariamente Bob, ma ottengo Carl e Dave gratuitamente.

    
risposta data 04.06.2013 - 16:50
fonte
1

Il tuo browser è già popolato da un archivio fidato che include la chiave pubblica RSA. Tutte le interazioni con qualsiasi chiave emessa da tale CA o dalle numerose altre CA già presenti nel trust store sono, per definizione, automatiche.

In altre parole, la tua fiducia nell'editore del browser deve includere la fiducia nel proprio archivio chiavi di chiavi pubbliche per le più diffuse CA. Questa fiducia non è una cosa da poco dato che recentemente ci sono state patch ai browser per rimuovere alcune chiavi CA (ad es. link ).

Come suggerisce AJ Henderston, la fiducia non è una questione tecnica, ma piuttosto sociale. Ti fidi di Mozilla, Apple o Microsoft e quindi confida che abbiano fatto la due diligence per confermare le chiavi pubbliche della CA nei loro prodotti.

    
risposta data 04.06.2013 - 21:46
fonte

Leggi altre domande sui tag