成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

網絡認證為什么不選擇OpenPGP?

安全
在實際網絡應用中,傳輸層安全協議(TLS)是默認的強加密解決方案,但也許這種情況是不應該出現。為什么沒有出現針對它的挑戰,TLS加密中出現的所有問題都被忽視了么?本文來為大家進行詳細分析。

TLS(包括其前身的名稱,SSL)在進行網絡認證時,加密協議的作用就是提供強加密的解決方案。盡管在加密認證中也存在其它可供選擇的項目,舉例來說,HTTP摘要式身份驗證,它們傾向于使用較弱的結構。但對于HTTP摘要式身份驗證來說,最大的問題就是這樣的一個事實,它無法提供識別服務器的核查機制。這讓它非常容易遭受到中間人類型的網絡攻擊。

 

與此相反,在設計的時間TLS協議就專門考慮到這種情況,并采用了權威的PKI證書來對服務器進行驗證。該證書制度屬于技術相關的過程,基于來自第三方的認證授權來對服務器進行驗證;從某些方面來看,類似采用OpenPGP公鑰加密信任模型的網絡,但和官僚機構的結合性更高。

來自信任網絡的主要部分屬于它的轉折點,但是:不是依靠個人判斷來選擇是否信任,取而代之的是自私自利的商業認證公司來公司使用者誰可以相信,誰不能被信任。

 

認證中心系統分為TLS和瀏覽器使用的HTTPS協議,這樣的話,即使使用者希望使用類似Perspectives之類的獨立認證核查系統,或者Monkeysphere之類信任網絡的話,也還需要對于系統進行繁瑣的設置,以便替代CA公鑰基礎設施。

在不包含電子商務要求的自簽名證書中,基本上沒有比CA簽名的注冊證書更容易設置的了。傳統TLS認證模式的靜態IP地址認證不會被自簽名證書解除,或者被基于OpenPGP之類的其它公共密鑰加密協議的技術所限制。

 

TLS中存在的問題有什么?

 

在很多情況下,基于TLS的PKI都會出現問題。舉例來說,對于資源不足又需要安全認證的網站來說,由商業機構或者財力雄厚的愛好者來提供支持是不合適的。主機共享,采用便宜的方式來建立一家“真正”的網站,處理使用TLS保護認證時出現的一些令人不快的問題(舉例來說,共享IP地址)。當然,為了保障服務器認證和強加密方面的認證保護,這些困難是無法消除的。

 

在理論上,這是一個可以獲得解決的問題。作為一種加密協議,OpenPGP的基本結構是在大約二十年前由加密愛好者眼中的英雄菲爾•齊默爾曼設計的。對于個人、公司和站點來說,在加密/解密過程的半程中使用簡單的公鑰可以實現非常靈活的設置,并且支持帶外模式的密鑰核查認證。

它采用了大范圍的分配機制,并且可以用來進行外部核查。這里面可以包括作為傳統OpenPGP默認密鑰驗證過程服務的網絡信任模式,以及Perspectives提供的分布式系統。

 

不過,理論和現實很少一致,在現實環境中,這并不屬于一個已經獲得解決的問題。實際情況是,TLS的應用范圍是如此廣泛,以至于已經成為了唯一的選擇,沒有其它競爭者可以對其構成威脅,甚至連達到類似水平的要求都做不到。

沒有一家競爭對手,可以對CA的公鑰基礎設施構成最基本的威脅,它們甚至連挑戰的機會都沒有,就更不用說市場份額了。所有這一切讓網絡身份認證的簡單實現基本覆蓋所有標準共享主機的想法成為不可能,在每一個使用OpenPGP之類的外部公共密鑰加密協議的案例中:單獨CGI的執行情況和PHP實現,都讓TLS成為不合理的負擔。即使出現了一定的成功,包括Ruby on Rails、Django、CMSplug-ins在內的其它競爭對手也將很快跟進。

 

并且不幸的是,部署加密措施的操作很難做到。對于真正基于OpenPGP的網絡認證簡單實現來說,實施的時間需要了解對服務器運行的軟件類型進行假設,這不是什么很方便的事情;或者與OpenPGP的應用與服務器端軟件開發人員使用的語言種類有關。

在處理主機共享,而網絡開發人員對于系統中安裝的軟件沒有或者只有很少的控制權,大部分服務器端語言中常見的加密庫都使用來自共享主機的同樣外部工具(通常情況下是GnuPG)來作為OpenPGP支持部分的情況下,這么做是一件非常困難的事情。

 

讓我們不要忘記處理客戶端的艱巨性。功能豐富的新型瀏覽器可以利用基于HTTPS的URI模式來支持TLS加密。然而,它們不會采用內置OpenPGP的方式來支持網絡身份認證。包含強大插件功能的瀏覽器可以采用相對簡單的方法來為系統增加功能,至少在某些情況下可以實現這一點;但插件需要進行開發,并且這樣做還涉及到客戶端上安裝的語言和分布式軟件的情況,與共享主機上的軟件可用性相比,這樣的認證系統的可靠性更低。

 

OpenPGP面臨的另一項挑戰

 

最終,我們找出了為什么沒有以OpenPGP或類似獨立公共密鑰加密為基礎的競爭對手可以替代TLS的原因。所有的努力都需要從基層開始,舉例來說,開源軟件開發社區應該提供整體解決方案,以自下而上的方式揭開針對基于CA的PKI加密模式在實際網絡中的霸權進行挑戰的序幕。

如果沒有具備前瞻性的大學生或者巨型企業支持的話,這樣的工作將會是非常難以進行的,畢竟,建立一個新的網絡身份認證體系需要做的工作非常多。更糟糕的可能是,即便這樣的開源系統得以建立,由于合理性或者資金方面的問題可能會導致它采用許可模式(估計會是非盈利版權)發放,這在某些情況下會阻礙代碼的使用,從而限制其推廣。

這還沒有包含對易于使用的標準化帶外密鑰驗證系統的要求,盡管在理論上它并不屬于系統的組成部分,但對于達到廣泛普及的目標來說將會起到非常大的作用。

 

盡管如此,但這種做法看起來似乎是目前唯一最有可能并且最簡單的方式,可以代替TLS提供更為“民主”的選擇;至少在驗證領域的情況是這樣,我們甚至預計最終可以普及到全程加密。

OpenPGP盡管在本文中被我采用,而且作為典例來進行說明,但SSH協議在這方面的效果也非常好。 希望讀者多多關注這方面的知識。

【編輯推薦】

  1. 安全3.3的三大必要條件
  2. 淺析黑客技術和網絡安全
  3. 別讓惡意軟件妨礙我們的生活
  4. 大多數企業忽視“網絡間諜”的威脅
  5. IT人員的困繞:互聯網早期的病毒傳播
  6. 無線不可靠?常見無線網絡安全問題解與答
責任編輯:佚名 來源: 機房360
相關推薦

2009-12-21 17:11:38

Linux認證

2019-07-08 10:28:33

網絡認證供應商自動化

2011-11-28 10:21:52

Nginx特性

2009-06-25 15:09:34

選擇JSFESRI

2024-01-15 00:42:55

Go語言應用程序

2012-02-28 09:11:51

語言Lua

2016-08-19 16:27:52

數據庫Mongo DB開發

2017-02-27 15:19:04

2012-11-14 20:55:07

容錯服務器選型CIO

2013-10-22 15:18:19

2023-02-26 01:25:23

Sanic框架工具

2020-06-10 09:06:48

MongoDB架構高可用

2015-07-06 15:09:10

隧道封裝Docker公有云

2024-10-25 14:39:26

BigDecimal精度數值

2023-03-21 08:02:36

Redis6.0IO多線程

2013-03-13 03:58:12

馬云人大代表兩會

2022-01-11 10:29:32

Docker文件掛載

2024-03-11 11:02:03

Date類JavaAPI

2016-10-11 16:31:56

微信服務器消息

2024-11-29 08:20:22

Autowired場景項目
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 天天色图 | 中文字幕在线三区 | 在线观看www视频 | 精品综合在线 | 99视频在线免费观看 | 欧美亚洲激情 | 国产日韩久久 | heyzo在线| 一区二区三区精品在线视频 | 亚洲一区二区高清 | 久久精品亚洲精品国产欧美 | 欧美日产国产成人免费图片 | 欧美成人h版在线观看 | 好姑娘高清在线观看电影 | 日韩精品免费 | 精品久久久久久久久久久 | 亚洲国产精品99久久久久久久久 | 色综合色综合色综合 | 91免费入口 | 日韩久久精品 | 日韩av一区二区在线观看 | 不卡一区二区三区四区 | 在线中文字幕av | 久久久久午夜 | 美女一区 | 国产精品久久久久久久久久妇女 | 国产精品久久久一区二区三区 | 国产精品日韩欧美一区二区三区 | 久久一区二区av | 一级美国黄色片 | 亚洲欧洲在线观看视频 | 久久久高清| 亚洲第一在线 | 欧美一区二区三区视频 | 色.com| 久久久久国产一区二区三区四区 | 午夜久久久久久久久久一区二区 | 曰批视频在线观看 | 精品欧美一区二区精品久久久 | 久久久久国产成人精品亚洲午夜 | 福利视频网址 |