智能设备数量达数百亿台,它们都与网站和数字服务进行通信并促进对网站和数字服务的访问,从访问社交媒体等公共设备到私人电子邮件访问、网上银行和处理医疗数据等敏感操作。
这些通信都依赖于公钥基础设施(PKI),其中公共证书颁发机构(CA)监督数字证书的提供,确保运行和访问这些服务的实体是他们声称的身份,保护它们之间的连接。在公共网络上,这些连接不仅要安全,而且要可信,这一点至关重要。
公众信任的方方面面
什么是信任?
在SSL/TLS连接的上下文中,信任围绕着客户端对服务器或与之通信的其他方的身份的信任。为了理解这种信任是如何建立的,让我们探讨一些关于信任的语言。
保证
保证帮助我们确定谁和什么是值得信赖的。当您收到一份签名的文件时,有几个因素可以向您保证签名是合法的,例如,如果您亲自认识并信任交给您的人,如果它包含经过公证的印章或印章,或者签名过程是否被记录下来并盖上时间戳。这些行动中的每一个都为接收者提供了额外的保证层,增加了信任。
一般保证
在上面的例子中,一般保证是相信某人的话,即文件是真实的。虽然了解个人略微增加了保证,但它仍然属于一般保证。
高保证
如果签署的文件已经过公证,则高度保证有关文件和签名是真实的。即使不认识公证人本人,也可以进行检查以验证公证人是否在相关政府办公室注册。许多州还要求公证人保留日志,以进一步协助验证。拥有视频证据将使我们几乎可以确定。
尽管如此,仍然存在潜在的问题,例如视频质量、错误识别、编辑和深度伪造,这可能会引起一些疑问。
加密确定性
如果我们观看签名过程的录像,我们可以从上下文中确定签名文件的合法性。时间戳表示视频未经编辑,并且发生在当时。我们还可以确定文件、签名和公证人的会签与视频中的一致。然后,我们也可以通过与公证处的日志进行证实来确认这一点。
如果文件在签署时被更改或公证人的执照已过期,则将不再有任何保证,文件和签名将无效。这实际上就是我们从加密确定性中获得的,它描述了最高级别的保证,我们可以保证通信或数据未被篡改并来自受信任的来源。
离线信任与数字信任
在线下,我们可以观察环境的各个方面,以确认我们在正确的地方,与正确的人交谈 - 例如医生办公室的医生。网络世界将我们从面对面的环境中移除,这给证明我们处于正确的数字等效空间带来了挑战。幸运的是,我们可以利用自动化来执行这些必要的检查,并带来适合在线世界的高度保证和信任。
公共信托与私人信托
在机场办理登机手续或开立银行账户时,需要进行某种形式的身份验证。可接受的身份证件通常由州或联邦市政当局颁发,例如驾照或护照,这使得它们在使用中用途广泛,因为它们受到公众的信任。
私人信托等同于雇主颁发的徽章或身份证。您不能使用员工ID开立银行账户,但员工ID在正确的上下文中具有优势。它由雇主控制,并让其他人知道您被允许进入该场所。驾照可能会向雇主显示您的身份,但不会向他们表明您属于该场所。
两者还展示了数字应用。不同的证书将具有不同的信任应用,具体取决于它们的用途和提供给谁。证书的颁发既有内部目的,也有外部目的——有些可能是公众信任的,而另一些则可能不是。
现在我们已经建立了传统的保证等级制度,让我们确定谁在网上扮演这些角色,而不是谁是互联网的“公证人”?
对公共证书颁发机构的信任
传统上,我们可能会利用公证人或律师的证明信;在网络世界中,我们求助于公共证书颁发机构。公证人通过满足其管辖范围的要求并在有关当局注册来赢得信任。这种信任是使用他们在文件上的印章和签名来应用的。
同样,公共CA通过满足“根存储运营商”规定的严格安全性和合规性要求来赢得信任。根商店运营商的一些示例是Adobe,Apple,Google,Microsoft和Mozilla。CA存在于这些根存储中的一个或多个中,确定了根的普遍性。
通过这些根程序授予公共CA的信任将一直延续到它们颁发的数字证书中。
数字证书
数字证书是符合X.509标准的数字文档,可分为两大类:服务器证书和客户端证书。数字证书包含一个公钥和一组标准字段,用于定义证书的用途、有效期和许多其他详细信息,包括颁发证书的一个或多个实体。证书中的信息由CA进行数字签名,从而赋予其信任。
服务器证书(也称为SSL或TLS证书)用于证明服务器的身份。当客户端连接到网站,例如https://www.globalsign.com时,TLS证书和协议可确保数据传输的机密性、完整性和真实性。
TLS证书对服务器进行身份验证,而客户端证书则向其他实体(如个人、电子邮件地址、组织或其他方)证明。客户端证书用于对数字对象(如CAD图纸、文档、电子邮件和代码)进行签名,它们对电子邮件和其他数据进行加密,并可用于向服务器验证客户端。
建立信任
TLS证书可能声称是为了证明一个特定的网站,但我们怎么能相信该证书属于控制该网站的一方,而不是冒名顶替者呢?
当客户端连接到网站时,浏览器将检查哪个CA签名并颁发了证书。通常,这是中间证书。这些中间证书依次由根CA证书签名和颁发。通过一个或多个中间证书将TLS证书绑定并最终绑定到根CA的顺序称为信任链。 如果根CA保存在浏览器的受信任根存储中,则这是受信任的证书。
将一切结合在一起
当我们向网站颁发TLS证书时,CA已验证其请求者是否表现出对域的控制权和对私钥的所有权。该证书由CA签名,现在具有指向其根证书的信任链,该根证书也是根程序的一部分。浏览器可以验证所有这些,并确认证书既未过期也未被吊销。建立TLS连接后,我们可以保证上述所有内容,并确保传输的数据经过加密且从其源头不变。
验证与ID的每一次面对面交互,然后在离线世界中验证该ID的有效性对于日常应用程序来说是非常不切实际的,但是,在数字世界中,我们可以自动执行这些检查的等效性,并为数字交互带来高度保证。
信任是世界上所有交易和通信的基础,无论是在物理空间还是在数字空间中。没有信任,我们就无法保证我们的数据和资产得到保护,而且这些通信的许多流程都会失败。
在进行业务交易时,组织依赖于自己与合作伙伴之间的信任保证,以确保业务运营不会中断。同样,组织必须与受信任的证书颁发机构合作,以确保其数据、通信和数字交易的安全。