譯文 | 分散式公鑰基礎設施

互聯網促進了全球個人之間的通信和交易，通過諸如電子郵件地址、域名和用戶名等標識符進行的。但誰來控制這些標識符？如何管理？他們之間的安全通信是如何促進的？

當今，第三方機構（如DNS注冊服務機構，ICANN，X.509證書頒發機構（CA）和社交媒體公司）負責創建和管理在線標識符以及它們之間的安全通信。不幸的是，這種設計顯示出嚴重的可用性和安全缺陷。

1.1 在線標識符的控制和管理

在設計DNS和X.509PKIX時，互聯網無法以可靠、分散的方式就注冊管理機構（或數據庫）的狀態達成一致。因此這些系統指定可信第三方來管理標識符和公鑰。幾乎所有的互聯網軟件都依賴這些權威機構。因此，網站域名并不屬于注冊它們的組織（注意：它們屬于第三方，如ICANN、域名注冊機構、證書頒發機構以及任何能夠影響、強制或入侵它們的任何人）。同樣，網站上的用戶名并不屬于這些用戶。

這些可信第三方（有時縮寫為TTP）作為可破壞的中心故障點，每個都可能危及整個互聯網的完整性和安全性。由于這些標識符的控制權被賦予TTP，因此其可用性也受到影響。這些與可靠性和可用性有關的問題會導致其他問題：

• 一些公司花費大量資源來解決由行為不當的CA導致安全漏洞；

• 許多網站仍然不支持HTTPS；

• 對于大多數網民來說，真正安全和用戶友好的交流仍然遙不可及。 [參考：“為什么約翰尼不能加密”

由于所有這些原因，DPKI的基本原則是身份屬于它們所代表的實體。這就需要設計一個分散的基礎設施，其中每個身份不是由可信第三方控制，而是由其主要所有者控制。

1.2 通信的安全性

通過安全傳遞公鑰來保護通信安全。這些密鑰對應于身份。這些身份所代表的實體（稱為主體）使用相應的私鑰來解密發送給它們的消息，并且證明他們發送了一條消息（通過用私鑰對其進行簽名）。

PKI系統負責公鑰的安全傳送。但是，常用的X.509 PKI、PKIX破壞了這些密鑰的創建和安全傳遞。

1.2.1第三方面臨的挑戰：尋找“正確的密鑰”

在X.509 PKIX中，通過創建由CA簽署的密鑰來保護Web服務。然而，在PKIX中生成和管理密鑰和證書的復雜性導致網絡托管公司自己管理這些密鑰的創建和簽署，而不是將其留給客戶。這從一開始就產生了重大的安全問題，因為它導致私鑰在CpoF（網絡托管公司）的積累，使訪問該密鑰存儲庫的任何人都可能以幾乎無法察覺的方式破壞與這些網站的連接的安全性。

X.509 PKIX的設計還允許世界各地約1200個CA模擬任何網站。CA的強制或危害的風險使情況進一步復雜化。由于這些危險，用戶無法確定他們的通信是否會被允許進行MITM（中間人攻擊）的欺詐證書所破壞。這些攻擊非常難以發現; 像谷歌這樣生產網頁瀏覽器的公司有時可以識別自己網站上的攻擊，但它們無法阻止對任意網站的攻擊。

解決方法已經被提出。HPKP是一種IETF標準，它允許網站告訴訪問者在一段時間內“扣住”他們收到的公鑰（忽略任何其他密鑰）。但是這種機制對于網站管理員來說很難使用，因此在實踐中可能不會使用太多。HPKP容易受到“敵意鎖定”的攻擊，如果密鑰需要被合法替換，則存在破壞網站的風險。更糟糕的是，HPKP的某些實現使第三方在沒有用戶同意的情況下覆蓋任意指針的做法變得輕而易舉。

1.3 PKI的可用性

即使可以信任權威第三方，目前的PKI系統也存在重大的可用性問題。 Brigham Young大學的一個小組調查了Mailvelope的可用性，Mailvelope是一種瀏覽器擴展，支持通過Gmail等第三方網站進行GPG加密通信。他們的研究表明參與者之間的安全通信嘗試失敗率高達90%。研究發現，公鑰管理是用戶無法正確使用軟件的主要原因。

TextSecure / Signal - 由愛德華斯諾登認可的安全和信息易用性的安全郵件系統——由于無法順利處理公鑰更改而具有可用性問題。如果用戶刪除并重新安裝應用程序，他們的朋友將被警告其公鑰“指紋”已更改。這種情況與MITM攻擊無法區分，很少有用戶能夠理解或費力去驗證他們是否收到了正確的公鑰。

1.3.1消息泄露的危險

由于傳統PKI的可用性挑戰，今天大多數網絡交流都是未簽名和未加密的。這在主要的社交網絡上尤其明顯。由于PKI的復雜性，社交網絡不會以任何方式加密用戶的通信，除了依靠PKIX通過HTTPS發送它們。由于消息未經過簽名，因此無法確定用戶是否真正說出他們所說的內容，或顯示的文本是否是數據庫泄露的結果。類似地，用戶通信以能夠訪問這些數據庫的任何人都可以讀取的方式存儲——損害用戶隱私并增加具有巨大責任風險的社交網絡。

答案不是放棄PKI，而是尋找替代方案：DPKI，未來的分散式公鑰基礎設施標準。

DPKI的目標是確保與PKIX不同，沒有任何一個第三方可以整體損害系統的完整性和安全性。通過技術使信任分散，使地理和政治上不同的實體能夠就共享數據庫的狀態達成共識。DPKI主要關注分散的key-value數據存儲，稱為區塊鏈，但它完全能夠支持其他提供類似或具有更安全屬性的技術。

被稱為礦工（或驗證節點）的第三方依然存在，但它們的作用僅限于確保區塊鏈（或分布式賬本）的安全性和完整性。這些礦工通過遵循議共識協議得到財政激勵。偏離協議會導致經濟懲罰，而遵守共識協議通常會產生經濟回報。由中本聰創造的比特幣是第一個這樣成功的協議。它基于工作證明，其中“礦工”的能量消耗用于保護數據庫。

通過在區塊鏈中注冊標識符，可以給主體直接控制和全局可讀標識符（如網站域）的所有權，像任何其他類型的交易一樣。在key-value數據存儲中（注意：在這種情況下，“key”是指數據庫查找字符串，而不是公鑰或私鑰），主體使用標識符作為查找密鑰。

同時，區塊鏈允許為這些標識符分配任意數據（如公鑰），并允許這些值以安全的方式在全局可讀，而不易受PKIX中可能出現的MITM攻擊的影響。這是通過將標識符的查找值鏈接到該標識符的最新和最正確的公鑰來完成的。

在該設計中，對標識符的控制將返回給主體。對于任何一個實體來說，破壞整個系統的安全性或者破壞不屬于它們的標識符不再是微不足道的。這就是DPKI如何解決困擾DNS和X.509 PKIX的安全性和可用性問題。

區塊鏈及其共識協議的完整描述超出了本文的范圍。第5節“標識符和公鑰的安全性”討論了它們的一些安全屬性，附錄“輕客戶端詳細信息”描述了如何從不具有區塊鏈完整副本的移動設備安全地訪問這些區塊鏈中的數據。

與傳統的PKI系統一樣，DPKI假定一個持續的活躍對手Mal經常試圖欺騙一個主體Alice信任另一個主體Bob的錯誤密鑰。這可以采取以下形式：發現Bob的錯誤標識符（例如，在twitter.com上找到錯誤的帳戶）或在識別出標識符后緩存錯誤的密鑰。

假設Mal是一個計算有限的對手，他能夠破壞或強迫集中的可信PKI方欺騙Alice信任錯誤的密鑰。這已經被證明是可行的，例如DigiNotar的案例，以及國家行為者迫使其轄區的CA簽署無效密鑰的情況。此外，假設Mal能夠改變或阻止Alice和Bob之間交換的消息的結合率（小于100％）。這在今天也是可行的，并且通過ISP級別的審查，請求重新定向以及為了破壞現有文件共享技術（如BitTorrent）而執行的的數據包修改攻擊來證明來自已知Tor出口節點的黑洞數據包，并阻止HTTP訪問政治敏感材料。

鑒于Mal的權力，DPKI的兩個設計原則變得明顯：

• 如前所述，每個主體必須完全控制其當前的標識符/公鑰綁定。如果只有主體可以修改他們的標識符，那么Mal就會被迫攻擊他希望破壞的每個主體。這與傳統的PKI形成對比，在傳統的PKI中，Mal只需要破解一個CA來欺騙許多主體。

• 該系統必須完成全有或全無的任何進展：每個主體必須見證其他主體對其標識符/公鑰綁定的更新，否則無人會觀察到任何更新。這如果她檢查某些主體的更新，則需要通過向整個網絡警告其存在來防止Mal可能的網絡級攻擊。這使得針對特定用戶或密鑰對的針對性攻擊成本極高，因為它確保了Mal可以攻擊任何人的唯一方法是立即攻擊每個人。

正如已經建議的那樣，DPKI通過使用安全的分散式key-value數據存儲庫來實現這些設計原則，以承載標識符和公鑰哈希之間的綁定。有關詳細信息，請參閱第5節“標識符和公鑰的安全性”。

如前幾節所述，DPKI的核心是分散式key-value數據存儲，可用作標識符注冊表，允許主體的公鑰與其標識符安全關聯。只要該注冊仍然有效并且主體能夠保持對其私鑰的控制，任何第三方都不能在不訴諸主體直接脅迫的情況下取得該標識符的所有權。

DPKI沒有規定應該使用哪種類型的標識符，并且認識到可能的不同方法（例如，用戶名或UUID），這些方法在易用性、持久性、唯一性、安全性和其他屬性方面可能不同。

對于DPKI使用分散式key-value存儲，必須具有以下屬性：

• 無權寫入。任何主體都可以廣播符合語法規則的消息。系統中的其他對等體不需要準入控制。這意味著一種分散的共識機制。

• 叉選規則。鑒于兩個更新歷史，任何主體都可以通過檢查確定哪一個是“最安全的”。

這些需求可以通過區塊鏈來滿足，例如Namecoin，Ethereum，甚至可能是比特幣（通過Blockstore等技術）。

4.1 DPKI注冊要求

在DPKI中處理標識符注冊的方式與DNS不同。雖然注冊商可能存在于DPKI，但他們必須遵守DPKI的目標所產生的若干要求，以確保身份屬于他們所代表的實體：

• 私鑰必須以分散的方式生成，以確保它們在主體的控制之下（例如，通過主體設備上的開源客戶端軟件）。這意味著明確禁止代表主體在服務器上生成密鑰對的注冊服務。否則將重新出現第一節“簡介 - 為什么是DPKI”中提到的問題。

• 軟件必須確保主體始終控制其標識符和相應的密鑰。主體可將其標識符的控制權擴展到第三方（例如，為了恢復目的），但這必須始終是需要明確的、知情的決定，而不是軟件的默認、隱含或誤導行為。永遠不要以不安全的方式存儲或傳輸私鑰。

• 軟件必須盡可能確保不存在允許單個實體在未經其同意的情況下剝奪其標識符的主體的機制。這意味著：

在區塊鏈內創建了命名空間后（例如，通過以太坊的智能合約），就無法銷毀它。同樣，命名空間不能包含允許任何人使不屬于它們的標識符無效的黑名單機制。

注冊和更新標識符的規則必須是透明的，并且必須以一種簡單的、難以忽略或誤解的方式（例如先到先得、拍賣）表達給用戶。特別是，如果注冊受到過期政策的約束，則必須明確告知主體，這可能導致主體失去對標識符的控制。

一旦完成設置，就不能更改命名空間規則以引入更新或更新標識符的任何新限制，否則可以在未經其同意的情況下從主體中控制標識符。同樣，不能修改用于更新或升級標識符的客戶端軟件以引入用于更新或更新標識符的新限制。

默認情況下，用于管理標識符的軟件必須確保用于創建、更新、恢復或刪除標識符的所有網絡通信都是通過分散的對等機制發送。這同樣是為了確保單個實體（如注冊服務商）無法阻止升級或更新標識符。

我們推薦DPKI基礎設施也努力確保：

• 至少有一類標識符一旦正確注冊后就不會過期。

• 至少有一類中立注冊政策可供所有公眾以及希望提供注冊服務的任何服務提供商使用。

4.2 DPKI注冊機制

注冊標識符可能具有與其相關聯的兩種類型的密鑰：用于注冊和更新與標識符相關聯的數據的密鑰對，以及與標識符（子密鑰）相關聯的公鑰。

建議主體使用子密鑰對消息進行簽名。它們可以直接或間接存儲在數據存儲區中：

• 直接存儲意味著公鑰本身直接存儲在DPKI數據存儲中。對于大多數區塊鏈來說不太可能，因為一些密鑰非常大，大多數區塊鏈不可能存儲它們或非常昂貴。

• 間接存儲意味著指針（例如，URI）與公鑰指紋一起存儲（或其本身包含公鑰指紋）。