Jednoduchá infrastruktura veřejného klíče - Simple public-key infrastructure

Jednoduchá infrastruktura veřejného klíče (SPKI, vyslovováno spoo klíč) byl pokusem překonat složitost tradičního X.509 infrastruktura veřejného klíče. Bylo to uvedeno ve dvou Pracovní skupina pro internetové inženýrství (IETF) Žádost o komentáře (RFC) specifikace—RFC 2692 a RFC 2693 —Z IETF Pracovní skupina SPKI. Tyto dva RFC nikdy neprošly „experimentální“ úrovní zralosti IETF Stav RFC. Specifikace SPKI definovala formát autorizačního certifikátu a stanovila oprávnění, práva nebo jiné podobné atributy (tzv. povolení) a jejich vazba na veřejný klíč. V roce 1996 byla SPKI sloučena s Jednoduchá distribuovaná bezpečnostní infrastruktura^[1] (SDSI, vyslovováno sudsy) od Ron Rivest a Butler Lampson.

Historie a přehled

Původní SPKI identifikoval principy pouze jako veřejné klíče ale povolil závazná oprávnění k těmto klíčům a delegování oprávnění z jednoho klíče na druhý. Použité kódování bylo párování atribut: hodnota, podobné RFC 822 záhlaví.

Původní SDSI vázal místní jména (jednotlivců nebo skupin) na veřejné klíče (nebo jiná jména), ale nesl povolení pouze v Seznamy řízení přístupu (ACL) a neumožňoval delegování podmnožin oprávnění zmocnitele. Použité kódování bylo standardní S-výraz. Ukázkový veřejný klíč RSA v SPKI v "pokročilém formátu přenosu" (pro skutečný přenos bude struktura Base64 -kódované):

(veřejný klíč

(rsa-pkcs1-md5

(e # 03 #)

(č

| ANHCG85jXFGmicr3MGPj53FYYSY1aWAue6PKnpFErHhKMJa4HrK4WSKTO

YTTlapRznnELD2D7lWd3Q8PD0lyi1NJpNzMkxQVHrrAnIQoczeOZuiz / yY

VDzJ1DdiImixyb / Jyme3D0UiUXhd6VGAz0x0cgrKefKnmjy410Kro3uW1 | )))

Kombinované SPKI / SDSI umožňuje pojmenování zmocněnců, vytváření pojmenovaných skupin zmocněnců a delegování práv nebo jiných atributů z jednoho zmocněnce na druhého. Zahrnuje jazyk pro vyjádření autorizace - jazyk, který obsahuje definici „průniku“ autorizací. Zahrnuje také pojem prahový předmět - konstrukce udělující povolení (nebo delegace), pouze když ${ displaystyle K}$ z ${ displaystyle N}$ shodují se uvedené subjekty (v žádosti o přístup nebo o delegování práv). SPKI / SDSI používá kódování výrazu S, ale specifikuje binární formu, kterou lze extrémně snadno analyzovat - gramatiku LR (0) - nazvanou Kanonické S-výrazy.

SPKI / SDSI nedefinuje roli pro reklamu certifikační autorita (CA). Ve skutečnosti je jedním z předpokladů SPKI to, že komerční CA nemá žádný užitečný účel.^[2]V důsledku toho je SPKI / SDSI nasazen především v uzavřených řešeních a v demonstračních projektech akademického zájmu. Dalším vedlejším účinkem tohoto konstrukčního prvku je, že je obtížné monetizovat SPKI / SDSI sám.^{[Citace je zapotřebí ]} Může to být součást nějakého jiného produktu, ale pro vývoj nástrojů a služeb SPKI / SDSI neexistuje žádný obchodní případ, s výjimkou části jiného produktu.

Nejvýznamnějším obecným nasazením SPKI / SDSI je E-speak, middlewarový produkt od HP který používal SPKI / SDSI pro řízení přístupu k webovým metodám a UPnP Zabezpečení, které používá XML dialekt SPKI / SDSI^{[Citace je zapotřebí ]} pro kontrolu přístupu k webovým metodám, delegování práv mezi účastníky sítě atd.

Viz také

SPKAC

Poznámky

^ „SDSI - jednoduchá distribuovaná bezpečnostní infrastruktura“. people.csail.mit.edu. Citováno 2017-03-15.
^ Ellison, Carl (1996). "Zřízení identity bez certifikačních autorit". 6. bezpečnostní sympozium USENIX. CiteSeerX 10.1.1.31.7263.

externí odkazy

[1] „SDSI - jednoduchá distribuovaná bezpečnostní infrastruktura“. people.csail.mit.edu. Citováno 2017-03-15.

[2] Ellison, Carl (1996). "Zřízení identity bez certifikačních autorit". 6. bezpečnostní sympozium USENIX. CiteSeerX 10.1.1.31.7263.

[1]

[2]