Prosta infrastruktura klucza publicznego

Prosta infrastruktura klucza publicznego ( SPKI , wymawiane spoo-key ) była próbą przezwyciężenia złożoności tradycyjnej infrastruktury klucza publicznego X.509 . Zostało to określone w dwóch Internet Engineering Task Force (IETF) Request for Comments (RFC) — RFC 2692 i RFC 2693 — opracowanych przez grupę roboczą IETF SPKI . Te dwa RFC nigdy nie przekroczyły „eksperymentalnego” poziomu dojrzałości statusu RFC IETF . Specyfikacja SPKI zdefiniowała format certyfikatu autoryzacji, przewidując określenie przywilejów, praw lub innych tego typu atrybutów (zwanych autoryzacjami ) i powiązanie ich z kluczem publicznym. W 1996 r. SPKI zostało połączone z Simple Distributed Security Infrastructure ( SDSI , wymawiane sudsy ) przez Rona Rivesta i Butlera Lampsona .

Historia i przegląd

Oryginalny SPKI identyfikował zleceniodawców tylko jako klucze publiczne , ale zezwalał na wiązanie autoryzacji do tych kluczy i delegowanie uprawnień z jednego klucza do drugiego. Użyte kodowanie to parowanie atrybut:wartość, podobne do nagłówków RFC 822 .

Oryginalne SDSI wiązało nazwy lokalne (osób lub grup) z kluczami publicznymi (lub innymi nazwami), ale zawierało autoryzację tylko na listach kontroli dostępu (ACL) i nie pozwalało na delegowanie podzbiorów autoryzacji zleceniodawcy. Zastosowano kodowanie standardowe S-expression . Przykładowy klucz publiczny RSA w SPKI w „zaawansowanym formacie transportowym” (dla rzeczywistego transportu struktura byłaby Base64 ):

(klucz publiczny (rsa-pkcs1-md5 (e #03#) (n |ANHCG85jXFGmicr3MGPj53FYYSY1aWAue6PKnpFErHhKMJa4HrK4WSKTO YTTlapRznnELD2D7lWd3Q8PD0lyi1NJpNzMkxQVHrrAnIQoczeOZuiz/yY VD zJ1DdiImixyb/Jyme3D0UiUXhd6VGAz0x0cgrKefKnmjy410Kro3uW1| )))

Połączone SPKI/SDSI umożliwia nazewnictwo zleceniodawców, tworzenie nazwanych grup zleceniodawców oraz delegowanie praw lub innych atrybutów z jednego zleceniodawców do drugiego. Zawiera język wyrażania upoważnień - język, który zawiera definicję "przecięcia" uprawnień. Obejmuje również pojęcie podmiotu progowego - konstrukcji nadającej uprawnienia (lub delegacje) tylko wtedy, gdy ${\ displaystyle K}$ z ${\ displaystyle N}$ z wymienionych podmiotów wyrazi zgodę (we wniosku o dostęp lub delegację praw). SPKI/SDSI używa kodowania S - expression, ale określa postać binarną, która jest niezwykle łatwa do przeanalizowania — gramatyka LR(0) — zwana kanonicznymi wyrażeniami S.

SPKI/SDSI nie definiuje roli komercyjnego urzędu certyfikacji (CA). W rzeczywistości jednym z założeń SPKI jest to, że komercyjny urząd certyfikacji nie służy żadnemu użytecznemu celowi. W rezultacie SPKI/SDSI jest wdrażany głównie w rozwiązaniach zamkniętych oraz w projektach demonstracyjnych o znaczeniu akademickim. Innym efektem ubocznym tego elementu projektu jest to, że trudno jest zarabiać na samym SPKI/SDSI. ^{[ potrzebne źródło ]} Może być składnikiem innego produktu, ale nie ma uzasadnienia biznesowego dla tworzenia narzędzi i usług SPKI/SDSI, chyba że jako część innego produktu.

Najbardziej znane ogólne wdrożenia SPKI/SDSI to E-speak, oprogramowanie pośrednie firmy HP , które wykorzystywało SPKI/SDSI do kontroli dostępu do metod sieciowych, oraz UPnP Security, które wykorzystuje dialekt XML SPKI/SDSI ^{[ potrzebne źródło ]} do uzyskiwania dostępu kontrola metod sieciowych, delegowanie uprawnień między uczestnikami sieci itp.

Zobacz też

SPKAC

Notatki

^ „SDSI - prosta rozproszona infrastruktura bezpieczeństwa” . ludzie.csail.mit.edu . Źródło 2017-03-15 .
Bibliografia _ „Ustalanie tożsamości bez urzędów certyfikacji”. 6. Sympozjum Bezpieczeństwa USENIX . CiteSeerX 10.1.1.31.7263 .

Linki zewnętrzne

[1] „SDSI - prosta rozproszona infrastruktura bezpieczeństwa” . ludzie.csail.mit.edu . Źródło 2017-03-15 .

[2] Bibliografia _ „Ustalanie tożsamości bez urzędów certyfikacji”. 6. Sympozjum Bezpieczeństwa USENIX . CiteSeerX 10.1.1.31.7263 .