Разработана новая система аутентификации владельцев открытых ключей

PKI (Public key infrastructure, инфраструктура открытого ключа) - модель аутентификации владельца открытого ключа c помощью иерархической или неиерархической службы каталогов. PKI позволяет устанавливать связь между открытым ключем и именем его владельца путем выпуска и распространения сертификата, заверенного подписью доверенного органа сертификации.

PKI обеспечивает секретность коммуникации, но, к сожалению, дорога и пока еще не развернута в интернете достаточно широко. Поэтому ее частой альтернативой является хранение на клиентских компьютерах локальных баз данных, устанавливающих связь между открытыми ключами и именами их владельцев, например, ключами и именами интернет-серверов. Поддержание таких БД требует дополнительных усилий и ресурсов.

Исследователи разработали систему аутентификации под названием Perspectives, по их мнению, лишенную указанных недостатков. Она может заменять описанные выше схемы, или же добавлять к ним дополнительный уровень безопасности.

Как сообщает пресс-служба университета Карнеги-Меллон, в Perspectives используются несколько доверенных сетевых верификаторов (network notaries), периодически получающих открытые ключи и сертификаты популярных серверов, и хранящих полученную информацию с возможностью ретроспективного анализа.

Пользовательский компьютер обращается к верификаторам за помощью при решении вопроса о принятии сомнительного сертификата, например, от сервера, имеющего самоподписанный сертификат SSL. Если данные о ключе, сертификате и его владельце у одного или нескольких верификаторов не совпадают, то это становится основанием отказа в таком принятии.

Ученые утверждают, что использование Perspectives намного снижает риск успешной атаки "Человек посередине", в ходе которой используются уязвимости слабой или односторонней аутентификации источников данных.