컨버전스(SSL)
Convergence (SSL)| 최종 릴리즈 | 0.09 (클라이언트) / 2012-03-07 |
|---|---|
| 저장소 | |
| 기입처 | Python, JavaScript |
| 운영 체제 | Windows, OS X, Linux |
| 이용가능기간: | 영어 |
| 유형 | 웹 브라우징 |
| 면허증. | GPLv3 |
| 웹 사이트 | Wayback Machine에서 2016년 8월 3일 아카이브 보기 |
컨버전스는 SSL 인증국을 대체하기 위한 전략으로, 2011년 8월에 Moxie Marlinspike가 Black [1]Hat 보안 회의에서 "SSL과 인증의 미래"라는 제목의 강연을 하면서 처음 제시했습니다.파이어폭스 애드온과 서버측 공증 데몬으로 시연되었습니다.
강연에서 Marlinspike는 인증국(CA) 시스템의 현재 모든 문제를 단일 누락 자산으로 축소할 수 있다고 제안했습니다.그는 이를 "신뢰 민첩성"이라고 부르며 Convergence가 제공하는 것을 목표로 했습니다.이 전략은 민첩하고 안전하며 [2][3]분산되어 있다고 주장했습니다.
2013년 [4]현재 Marlinspike는 [5]TACK이라는 이름의 IETF 제안에 초점을 맞추고 있습니다.이는 완전한 CA 교환이 아닌 동적 증명서 핀 접속을 옹호하고 서드파티를 [6][7]신뢰할 필요가 있는 횟수를 줄이는 논란의 여지가 없는 첫 번째 단계로 설계되어 있습니다.
컨버전스 개발은 2014년까지 '[8][third-party source needed]컨버전스 엑스트라' 포크로 계속됐다.
배경
컨버전스는 Carnegie Mellon University의 Perspectives Project의 이전 연구를 기반으로 했습니다.Perspectives와 마찬가지로 Convergence는 외부 공증인과 접촉함으로써 접속을 인증했지만 Perspectives와 달리 Convergence 공증인은 네트워크 이외의 다양한 전략을 사용하여 판단을 내릴 수 있습니다.
기존 SSL과의 컨버전스
기존 SSL 시스템에서 인증 기관의 목적은 SSL 인증서를 확인하여 사이트의 ID를 확인하는 것입니다.부샤프 없이는 중간자 공격에 노출될 수 있습니다.단일 사이트는 1개의 Certificate Authority(CA; 인증국)에서만 보증되며 이 CA는 사용자에 의해 신뢰되어야 합니다.웹 브라우저에는 일반적으로 기본 신뢰할 수 있는 CA 목록이 포함되어 있으며 신뢰할 수 있는 CA에서 사이트를 보증할 수 없는 경우 "신뢰할 수 없는 연결"에 대한 경고가 표시됩니다.이 시스템의 문제는 사용자(또는 브라우저 벤더)가 CA에 대한 신뢰를 잃었을 때 브라우저의 신뢰할 수 있는 권한 목록에서 CA를 삭제하면 해당 CA를 사용한 모든 사이트에 대한 신뢰가 상실된다는 것입니다.이는 주요 브라우저가 DigiNotar CA에[9] 대한 신뢰를 상실하여 이 CA에 등록된 사이트가 새로운 인증국을 취득해야 할 때 발생합니다(인증국 번호 참조).신뢰 위반의 더 많은 예에 대한 CA의 타협).
그러나 컨버전스에서는 용장성 레벨이 있어 단일 장애점은 없었습니다.여러 명의 공증인이 단일 사이트를 보증할 수 있다.사용자는 여러 공증인을 신뢰하도록 선택할 수 있으며, 그 대부분은 동일한 사이트를 보증합니다.사이트의 ID가 올바른지 여부에 대해 공증인이 동의하지 않을 경우, 사용자는 다수결로 가거나, 모든 공증인이 동의하도록 주의하고 요구하거나, 단일 공증인으로 만족하도록 선택할 수 있습니다(투표 방법은 브라우저 애드온의 설정으로 제어됨).사용자가 특정 공증인을 불신하기로 선택했을 경우, 나머지 신뢰할 수 있는 공증인이 신뢰하는 한 악의 없는 사이트는 여전히 신뢰할 수 있기 때문에 단일 장애 지점이 존재하지 않게 되었습니다.
2011년 9월, Qualys는 2대의 공증 서버를 [10]가동한다고 발표했습니다.2016년 6월 현재 이들 서버는 [11]다운된 것으로 보입니다.Convergence Wiki에는 [12]공증인 목록이 유지되어 있습니다.
대체 수단
- Monkeysphere 프로젝트에서는 PGP Web of Trust 모델을 사용하여 HTTPS [13]증명서의 신뢰성을 평가함으로써 동일한 문제를 해결하려고 합니다.
- HTTP 공개키 핀닝은 HTTPS 웹 사이트가 오발급 또는 부정 증명서를 사용하는 공격자에 의한 위장을 방지할 수 있는 보안 메커니즘입니다.
- Certificate Transparency는 검증 가능한 추가 전용 공개 로그를 통해 문제를 해결하려고 시도합니다.
레퍼런스
- ^ "SSL And The Future Of Authenticity". YouTube.
- ^ Schwartz, Mathew J. (2011-09-30). "New SSL Alternative: Support Grows For Convergence". InformationWeek. UBM. Archived from the original on 2011-10-01. Retrieved 2016-09-25.
- ^ Messmer, Ellen (2011-10-12). "The SSL certificate industry can and should be replaced". Network World. IDG. Archived from the original on 2014-03-01. Retrieved 2016-09-25.
- ^ Marlinspike, Moxie [@moxie] (2013-02-18). "@deviantollam Unfortunately it's not possible to develop a convergence chrome extension. We've been focusing more on tack.io" (Tweet) – via Twitter.
- ^ "Trust Assertions for Certificate Keys". Archived from the original on 2018-09-04. Retrieved 2019-06-19.
- ^ Fisher, Dennis (2012-05-30). "Moxie Marlinspike on TACK, Convergence and Trust Agility". ThreatPost.
- ^ Marlinspike, Moxie (October 2012). "Trevor Perrin and I are actually making..." Hacker News (Forum). Retrieved 2016-09-24.
- ^ "mk-fg/convergence". August 27, 2020 – via GitHub.
- ^ Goodin, Dan. "Dutch CA banished for life from Chrome, Firefox". www.theregister.com.
- ^ "SSL Labs: Announcing launch of two Convergence notaries". Qualys Security Blog. September 29, 2011.
- ^ 미국 공증 서버: https://www.ssllabs.com/convergence/notary-us.convergence[permanent dead link].qualys.com.notary
- ^ "moxie0/Convergence". GitHub.
- ^ Fuchs, Karl-Peter; Herrmann, Dominik; Micheloni, Andrea; Federrath, Hannes (2015-02-18). "Laribus: privacy-preserving detection of fake SSL certificates with a social P2P notary network". EURASIP Journal on Information Security. 2015. doi:10.1186/s13635-014-0018-0. S2CID 3746068. Retrieved 2019-12-20.
외부 링크
- "Convergence". Archived from the original on 3 August 2016. Retrieved 13 October 2011.
{{cite web}}: CS1 maint: bot: 원래 URL 상태를 알 수 없습니다(링크). - GitHub에서의 컨버전스 프로젝트 페이지
