Voglio creare un nuovo schema per l'identificazione dell'utente, come i certificati X.509, ma non X.509. È possibile utilizzare questo nuovo certificato su Internet esistente? e se sì, quali sono gli attributi di base che devono essere mantenuti O può essere omesso?
Continui a usare quella parola di identificazione. Non penso significhi ciò che pensi che faccia.
Internet sposta i bit, non gli importa quali siano questi bit. Ovviamente i server di terze parti non rispetteranno i certificati non standard, perché, si sa, "standard".
Fino a te quali attributi includi da quando stai progettando la tua PKI.
Non progettare la tua PKI.
Due risposte:
Tecnicamente è possibile?
Sì. Tutte le cose sono tecnicamente possibili, hanno abbastanza tempo, denaro e ingegno. È possibile creare un nuovo modello crittografato per l'identificazione, creare nuovi standard per la descrizione dell'entità identificata, creare un nuovo back-end per fornire l'emissione, la revoca e la verifica della prova dell'identità e trovare un nuovo modo di trasferire i dati.
È probabile che ti serva una qualche forma di keying assimmetrico, dal momento che hai bisogno di un modo crittografico per capire quale entità individuale stai identificando, e le chiavi simmetriche sono dolorose per questo. E vorrete MOLTO tempo e manodopera - reinventare PKI non è facile.
Le sfide più difficili che vedo proverebbero a ottenere questo in SSL, ma si potrebbe sempre fare una sessione SSL / HTTPS di server e quindi inserire il nuovo schema di identificazione nel carico utile dell'applicazione sopra di esso, ad esempio in un POST HTTP. Gli standard per il livello di applicazione della rete sono aperti abbastanza da poter essere facilmente eseguiti.
È una buona idea?
No. Assolutamente no.
La cosa su uno schema di identificazione è che funziona meglio se tutti sono d'accordo. Le ragioni per gli standard dei certificati X509, l'autenticazione del client SSL, vari tipi di firme digitali e altri modi per dimostrare la custodia delle chiavi private è che rende MOLTO più facile da implementare su prodotti di fornitori, dispositivi di rete, sistemi operativi e altri componenti. Detto questo, non è ancora semplice collegare questa roba - anche con questi standard le grandi organizzazioni spendono un sacco di soldi ogni anno per far sì che le loro infrastrutture siano in grado di identificare sia gli utenti che le attrezzature.
Un modello comune per questa situazione è la storia del "costo del primo apparecchio fax": il primo apparecchio fax era estremamente costoso e totalmente inutile. Essendo la prima macchina, nessun altro posto dove inviare un fax, quindi era essenzialmente un mattone che non faceva nulla. Il secondo fax ha dato un enorme valore al primo apparecchio fax. Ma il tempo in cui esistevano molti, molti fax, il costo di ogni altro apparecchio fax era banale in confronto alla grande potenza di poter inviare fax dappertutto.
La stessa cosa vale qui: se fai il tuo, dovrai creare almeno due punti: il mittente e il destinatario e gestirlo interamente da solo. La creazione di un nuovo modello per l'infrastruttura PKI si tradurrà in molti anni di sforzi e in molti altri aspetti dell'integrazione e del supporto di un modello personalizzato.
A meno che tu non sia uno stato nazionale, non lo consiglio.
Aspetta ... anche se sei uno stato nazionale, non lo consiglio.
Alternativo
Il modello PKI è piuttosto modulare. Esistono tutti i tipi di modi creativi per descrivere l'entità che desideri identificare. E diversi modi per scrivere la tua politica di sicurezza per gestire revoche e verifiche. Esistono tutti i tipi di prodotti open source che ti consentono di personalizzare una CA, personalizzare gli strumenti di verifica e distribuire le informazioni di revoca e, se sei abbastanza intelligente, puoi farlo senza violare gli standard di base per questo.
Sono disponibili sia XML che ASN.1 per descrivere gli artefatti crittografici e collegarli a informazioni e azioni per utenti e entità non umane.
Se il percorso verso una soluzione conforme agli standard non è chiaro, questo è un ottimo posto dove porre ulteriori domande.
Leggi altre domande sui tag authentication certificates x.509