Metodi di autenticazione senza fidarsi di terze parti se non esplicitamente indicato

0

Il piano è di avere una situazione in cui non ci si possa fidare di terzi se non lo si specifica esplicitamente. Ad esempio, le CA vengono utilizzate solo quando il contatto ha aggiunto esplicitamente la CA come parte attendibile (non ci sarà nulla che le CA di root o le CA di fiducia firmino altre CA).

Metodi che ho raccolto finora:

  • Esempio CA precedente.
  • Utilizzo di un web-of-trust.
  • Invio di una password una tantum a una chiave pubblica non autenticata, richiedendo che questa password ti venga rispedita attraverso un altro supporto per dimostrare che sei tu. Come un SMS da un numero conosciuto in anticipo o faccia a faccia. Dal momento che solo il portachiavi privato sarebbe in grado di conoscere questa password dimostra di essere il proprietario.

Esistono altri modi per autenticare i proprietari dei certificati quando non sei vincolato dagli standard ma non puoi distribuire l'hardware in anticipo?

Per chiarire: Si tratta di verificare che il portachiavi privato sia davvero la persona che si ritiene debba essere il titolare. Quindi in altre parole si tratta di autenticare l'identità del proprietario del certificato. Così come: "Ehi [email protected]! Sei davvero il Frank che conosco dalla classe?"

    
posta Beanow 22.04.2012 - 03:44
fonte

1 risposta

1

Definisci cosa esattamente vuoi autenticare sulla festa con cui stai comunicando. Vuoi autenticare il nome sulla loro patente di guida? Che hanno un numero di carta di credito valido che puoi addebitare? Che controllano un particolare nome di dominio? Che sono il tuo cliente e il numero di conto di controllo così e così? Qualcos'altro?

Per molti siti Web, tutto ciò che devono sapere è che tu sei la stessa persona che ha creato l'account inizialmente. Quando accedi al tuo account email Gmail, tutto ciò che devi fare è dimostrare di essere la stessa persona che ha inizialmente creato quell'account.

Per molti siti Web di e-commerce, tutto ciò che devono sapere è che si dispone di un numero di carta di credito valido e si pagherà. Ad esempio, quando accedi al tuo account Amazon e acquisti qualcosa, tutto ciò che devono sapere è che tu sei la stessa persona che inizialmente ha creato quell'account e che il tuo numero di carta di credito è valido e gli addebiti su quella carta di credito saranno accettati .

Nessuno di questi scenari richiede certificati (possono essere eseguiti con certificati, ma possono essere eseguiti anche in altri modi).

In breve, l'autenticazione è un argomento vasto. Il modo in cui autenticiamo un'altra parte dipende da cosa, esattamente, vogliamo autenticarci e quali garanzie vogliamo che il metodo di autenticazione fornisca.

    
risposta data 22.04.2012 - 06:00
fonte

Leggi altre domande sui tag