อ่าน 2 นาที
บุคคลที่สามที่น่าเชื่อถือ
ในด้าน การเข้ารหัสลับ บุคคล ที่สามที่เชื่อถือได้ ( TTP ) คือหน่วยงานที่อำนวยความสะดวกในการติดต่อสื่อสารระหว่างสองฝ่ายที่ต่างฝ่ายต่างไว้วางใจบุคคลที่สาม...
บุคคลที่สามที่น่าเชื่อถือ
ในด้านการเข้ารหัสลับบุคคลที่สามที่เชื่อถือได้ ( TTP ) คือหน่วยงานที่อำนวยความสะดวกในการติดต่อสื่อสารระหว่างสองฝ่ายที่ต่างฝ่ายต่างไว้วางใจบุคคลที่สาม บุคคลที่สามจะตรวจสอบการสื่อสารธุรกรรมที่สำคัญทั้งหมดระหว่างฝ่ายต่างๆ โดยพิจารณาจากความง่ายในการสร้างเนื้อหาดิจิทัลที่เป็นการฉ้อโกง ในแบบจำลอง TTP ฝ่ายที่พึ่งพาจะใช้ความไว้วางใจนี้เพื่อรักษาความปลอดภัยในการติดต่อสื่อสารของตนเอง TTP พบได้ทั่วไปในธุรกรรมทางการค้าจำนวนมาก รวมถึงธุรกรรมดิจิทัลที่ใช้การเข้ารหัสลับและโปรโตคอลการเข้ารหัสลับ ตัวอย่างเช่น หน่วยงานออกใบรับรอง (CA) จะออกใบรับรองดิจิทัลให้กับฝ่ายใดฝ่ายหนึ่งในตัวอย่างต่อไปนี้ จากนั้น CA จะกลายเป็น TTP สำหรับการออกใบรับรองนั้น ในทำนองเดียวกัน ธุรกรรมที่ต้องการการบันทึกโดยบุคคลที่สามก็จำเป็นต้องมีบริการจัดเก็บข้อมูลของบุคคลที่สามบางประเภทด้วย
คำว่า 'น่าเชื่อถือ' หมายความว่า ระบบนั้นจำเป็นต้องได้รับความไว้วางใจว่าจะกระทำการเพื่อผลประโยชน์ของคุณ แต่ระบบนั้นก็มีตัวเลือก (ไม่ว่าจะโดยสมัครใจหรือโดยไม่สมัครใจ) ที่จะกระทำการขัดต่อผลประโยชน์ของคุณได้ 'น่าเชื่อถือ' ยังหมายความว่า ไม่มีวิธีใดที่จะตรวจสอบได้ว่าระบบนั้นกำลังดำเนินการเพื่อผลประโยชน์ของคุณหรือไม่ ดังนั้นจึงจำเป็นต้องไว้วางใจระบบนั้น ข้อสรุปก็คือ หากสามารถตรวจสอบได้ว่าระบบนั้นดำเนินการเพื่อผลประโยชน์ของคุณ ระบบนั้นก็ไม่จำเป็นต้องได้รับความไว้วางใจจากคุณ และหากสามารถแสดงให้เห็นได้ว่าระบบนั้นดำเนินการขัดต่อผลประโยชน์ของคุณ คุณก็จะไม่ใช้มัน
ตัวอย่าง
สมมติว่าอลิซและบ็อบต้องการสื่อสารกันอย่างปลอดภัย พวกเขาอาจเลือกใช้การเข้ารหัสลับโดยที่อลิซไม่เคยพบกับบ็อบมาก่อน เธออาจจำเป็นต้องได้รับกุญแจเพื่อใช้ในการเข้ารหัสข้อความถึงเขา ในกรณีนี้ TTP คือบุคคลที่สามซึ่งอาจเคยเห็นบ็อบมาก่อน (ตัวเป็นๆ) หรือเต็มใจที่จะรับรองว่ากุญแจนี้ (โดยทั่วไปอยู่ในใบรับรองกุญแจสาธารณะ ) เป็นของบุคคลที่ระบุไว้ในใบรับรองนั้น ในกรณีนี้คือบ็อบ เราจะเรียกบุคคลที่สามนี้ว่าเทรนต์เทรนต์มอบกุญแจของบ็อบให้แก่อลิซ ซึ่งอลิซจะใช้กุญแจนั้นส่งข้อความที่ปลอดภัยไปยังบ็อบ อลิซสามารถเชื่อถือได้ว่ากุญแจนี้เป็นของบ็อบหากเธอเชื่อถือเทรนต์ ในการสนทนาเช่นนี้ ถือว่าเธอมีเหตุผลที่ถูกต้องในการทำเช่นนั้น (แน่นอนว่ายังมีประเด็นเรื่องที่อลิซและบ็อบสามารถระบุตัวเทรนต์ได้อย่างถูกต้องว่าเป็นเทรนต์ ไม่ใช่คนอื่นแอบอ้างเป็นเทรนต์)
การปฏิบัติจริง
วิธีการจัดหาบุคคลที่สาม (ที่น่าเชื่อถือ) ประเภทนี้เป็นปัญหาที่ยังแก้ไม่ตก[ 1 ]ตราบใดที่ยังมีแรงจูงใจจากความโลภ การเมือง การแก้แค้น ฯลฯ ผู้ที่ดำเนินการ (หรือกำกับดูแล) งานที่ทำโดยหน่วยงานดังกล่าวจะก่อให้เกิดช่องโหว่ที่อาจทำให้ความไว้วางใจที่จำเป็นรั่วไหลได้ ปัญหานี้อาจเป็นปัญหาที่แก้ไม่ตก เป็นปัญหาเก่าแก่และเป็นที่รู้จักกันดี การที่บริษัทขนาดใหญ่ที่ไม่มีตัวตนให้คำมั่นสัญญาถึงความถูกต้องในการรับรองความถูกต้องของการติดต่อสื่อสารระหว่างกุญแจสาธารณะกับผู้ใช้ (เช่น โดยหน่วยงานออกใบรับรองซึ่งเป็นส่วนหนึ่งของโครงสร้างพื้นฐานกุญแจสาธารณะ ) แทบจะไม่เปลี่ยนแปลงอะไรเลย เช่นเดียวกับในหลายๆ สภาพแวดล้อม ความแข็งแกร่งของความไว้วางใจนั้นอ่อนแอเท่ากับจุดอ่อนที่สุด เมื่อโครงสร้างพื้นฐานของ CA ที่น่าเชื่อถือ ถูกบุกรุก ห่วง โซ่ความไว้วางใจทั้งหมดก็จะพังทลายลง เหตุการณ์ในปี 2011 ที่CA DigiNotar ทำลายความไว้วางใจของ PKIของรัฐบาลเนเธอร์แลนด์และเป็นตัวอย่างในตำราเรียนเกี่ยวกับจุดอ่อนของระบบและผลกระทบของมัน[ 2 ]ดังที่Bruce Schneierได้ชี้ให้เห็น หลังจากการเปิดเผยการสอดแนมครั้งใหญ่ในปี 2013ไม่ควรไว้วางใจบุคคลที่สามอีกต่อไป
ระบบเข้ารหัสPGP ประกอบด้วยรูปแบบหนึ่งของ TTP ในรูปแบบของเครือข่ายความไว้วางใจผู้ใช้ PGP จะลงนามในใบรับรองของกันและกันแบบดิจิทัล และได้รับคำแนะนำให้ทำเช่นนั้นก็ต่อเมื่อพวกเขามั่นใจว่าบุคคลและกุญแจสาธารณะเป็นของกันและกันเท่านั้นการจัดกลุ่มลงนามกุญแจเป็นวิธีหนึ่งในการรวมกลุ่มเข้ากับการลงนามในใบรับรอง อย่างไรก็ตาม ความสงสัยและความระมัดระวังยังคงเป็นสิ่งจำเป็น เนื่องจากไม่มีอะไรป้องกันไม่ให้ผู้ใช้บางคนประมาทในการลงนามในใบรับรองของผู้อื่น
การไว้วางใจมนุษย์ หรือสิ่งที่องค์กรสร้างขึ้น อาจมีความเสี่ยง ตัวอย่างเช่น ในเรื่องการเงิน บริษัทประกันภัยยังไม่สามารถหาวิธีหลีกเลี่ยงการขาดทุนในโลกแห่งความเป็นจริงได้
ความคล้ายคลึงกันนอกเหนือจากด้านการเข้ารหัสลับ
นอกเหนือจากเรื่องการเข้ารหัสแล้ว กฎหมายในหลายแห่งยังบัญญัติให้มีบุคคลที่สามที่น่าเชื่อถือซึ่งสามารถพึ่งพาได้ ตัวอย่างเช่นทนายความรับรองเอกสารทำหน้าที่เป็นบุคคลที่สามที่น่าเชื่อถือในการตรวจสอบหรือรับรองลายเซ็นบนเอกสาร บทบาทของบุคคลที่สามที่น่าเชื่อถือในด้านการเข้ารหัสก็คล้ายคลึงกันอย่างน้อยก็ในหลักการหน่วยงานออกใบรับรองทำหน้าที่คล้ายกับทนายความรับรองเอกสาร โดยรับรองตัวตนของเจ้าของกุญแจ แต่ไม่ได้รับรองว่าบุคคลนั้นมีสติสัมปชัญญะครบถ้วนหรือปราศจากการบีบบังคับ (และหน่วยงานออกใบรับรองก็ไม่ได้รับรองวันที่ลงนามด้วย)
ดูเพิ่มเติม
สรุปเนื้อหา
ข้อมูลสำคัญจากบทความ
ข้อมูลสำคัญเกี่ยวกับ บุคคลที่สามที่น่าเชื่อถือ
ในด้าน การเข้ารหัสลับ บุคคล ที่สามที่เชื่อถือได้ ( TTP ) คือหน่วยงานที่อำนวยความสะดวกในการติดต่อสื่อสารระหว่างสองฝ่ายที่ต่างฝ่ายต่างไว้วางใจบุคคลที่สาม...
ตัวอย่าง
สมมติว่าอลิซและบ็อบต้องการสื่อสารกันอย่างปลอดภัย พวกเขาอาจเลือกใช้ การเข้ารหัสลับ โดยที่อลิซไม่เคยพบกับบ็อบมาก่อน เธออาจจำเป็นต้องได้รับกุญแจเพื่อใช้ในการเข้ารหัสข้อความถึงเขา ในกรณีนี้ TTP คือบุคคลที่สามซึ่งอาจเคยเห็นบ็อบมาก่อน (ตัวเป็นๆ)...
การปฏิบัติจริง
วิธีการจัดหาบุคคลที่สาม (ที่น่าเชื่อถือ) ประเภทนี้เป็นปัญหาที่ยังแก้ไม่ตก [ 1 ] ตราบใดที่ยังมีแรงจูงใจจากความโลภ การเมือง การแก้แค้น ฯลฯ
ความคล้ายคลึงกันนอกเหนือจากด้านการเข้ารหัสลับ
นอกเหนือจากเรื่องการเข้ารหัสแล้ว กฎหมายในหลายแห่งยังบัญญัติให้มีบุคคลที่สามที่น่าเชื่อถือซึ่งสามารถพึ่งพาได้ ตัวอย่างเช่น ทนายความรับรอง เอกสารทำหน้าที่เป็นบุคคลที่สามที่น่าเชื่อถือในการตรวจสอบหรือรับรองลายเซ็นบนเอกสาร...