web-dev-qa-db-ja.com

PGPキーはX.509キーと同じくらい証明書に適していますか?

認証と一般的な暗号化の両方を必要とする分散トランザクション処理システムに取り組んでいて、設計上の決定を下しました。PGPまたはX.509証明書を使用する必要がありますか?

世界は認証にX.509を使用する傾向がありますが(特にブラウザーで)、各証明書にcentralの権限証明書があるという原則に基づいています。つまり、システムにはCAとシステムに参加したい場合は、そのCAによってキーに署名してもらう必要があります。

一方、PGPは「Web of Trust」に基づいており、通信を希望する当事者は、両方の鍵に署名する共通のany共通の信頼できる当事者が必要です。この場合、CAは必要ありません。

私の全体的な設計目標は、システムを分散化するためにWeb-of-Trustモデルを好んでいますが、集中モデルを好む顧客もいる可能性があり、その可能性を禁止したくありません。 Web-of-Trustの原則がX.509で機能するのを妨げるものはありますか?同様に、PGP暗号システムでCAを模倣することは簡単で簡単ですか?実際には交換可能ですか?

(どういうわけか、これは私が誤った二分法を思い起こさせています:「私は釘で強打しようとしています、ビール瓶または靴のヒールを使用するべきですか?」)

6
Chris Wenham

PGP鍵サーバーは、信頼できる信頼できるポイントとして機能します(CAと同様)。 PGPキー/キーサーバーについて私が気に入っているのは、このWebを構築するために信頼できるソースを選択することです。 x509/CA/web-browserモデルを使用する最新のOSとアプリケーションのほとんどには、チェーンをだます/壊すいくつかの方法がある「チェーンオブトラスト」の問題があります。別の方法として、独自のCAを実行することもできますが、自動インポートされた証明書(たとえば、isp /外国政府)から署名証明書を持っている場合、信頼の連鎖を簡単に破ることができます。あなたも知らないでしょう。

5
RobotHumans