我们很高兴分享0.10.1版的OpenPGP CA已经发布!这也是箱子上可用的第一个版本。
OpenPGP CA是管理员创建和管理adecentralized,内部认证机构的工具。 OpenPGP CA可以为组织提供且易于将身份验证设备委托给他们可以依赖的人,例如他们的SystemAdministrator。而且,外部团体和个人可以使用这些Casto认证,仅使用OpenPGP的范围信任签名。 OpenPGP CA还通过管理Web键目录(WKD)有助于KeyDiscovery和密钥更新。
假设您的组织想要保护SentInternally的电子邮件以及与重要合伙人交换的电子邮件也使用相同的加密标准。为了制作场景,让我们说你的组织中有50人,你有一个小的IT团队。你怎么做呢?
为实现这一目标,使用OpenPGP,IT部门可以像加密一样组织出来。首先,有人会举办一小时的讲话,解释机密性,完整性和身份验证背后的基础,为什么它们很重要,以及它们如何实现OpenPGP。然后,将有一个安装方,其中UpperentInstals右邮件客户端或附加组件。最后,每个人都会创建一个密钥,比较彼此的指纹,并发送一些邮件。
这种方法可能对几个技术爱好者有效。但Myexience是它甚至不会达到令人清楚,迫切需要这种保护的大多数人。而且,对于员工来说,他们会感到无聊,但也许他们会高兴有几个小时休假。
为用户提供类似福利,而是具有大量的替代方案是基于CA的方案。使用CA将钥匙的负担从个人从个人转移到可信第三方。如果使用我们的50人组织中的其他人的指纹,则可以验证其他人的指纹,每个人都验证了49个指纹。这是1250(= 50 * 49)的验证!如果每个人都依赖于CA,那么该管理员必须检查50个指纹并在50台计算机上安装CA证书。这对ForeveryOne有很多工作量。
当然,在这种情况下,仍然有必要拥有每个钥匙。但是,这是一个一次性程序,可以完成在登机过程中的Aspart。而且,替船主子必须维护目录(例如,WKD或LDAP),并使用户软件配置为使用它。但是,没有一个,没有任何努力从最终用户努力。
如果你是隐私活动家,你可能思考:没有!我不喜欢CA!我听说赛门铁克如何多次厌倦了厌倦了,土耳其等政府已经被抓住了借鉴了。这些巨大的CA的利益并不是他们用户的利益;他们无法依赖!
而且,那些人恰好是OpenPGP CA解决的问题。使用第三方CA,OpenPGP CA可以轻松运行Anin-House Ca.由于系统管理员通常已经存在于所有用户的计算机上的HasaDministrator权限,因此仅在系统管理员中才会更大的信任。胜利是巨大的:用户不仅能够发送加密的电子邮件公司的同事,而且键实际上已经经过身份验证,这是在信号时代被忽视的安全通信的基本属性。而且,OpenPGP CaChieves使用OpenPGP现有机制。您可以在其广泛的文档中阅读OpenPGP CA。
此外,由于OpenPGP CA可以轻松签署彼此的CA键并将这些认证签署为单一组织,因此易于管理员可以确保他们能够完全自动地对其他组织的用户进行身份验证键。当然,个人可以这样做。
OpenPGP CA工作如下。 OpenPGP CA帮助管理员Signeance用户的证书,并在WKD中发布它们。 TheadMinistator甚至可以签署其他OpenPGP CA实例(从而桥接组)和第三方证书的证书。用户该设置将CA设置为可信赖的介绍者(在Gnupg术语中:将钥匙的母部位置于“完全”,或Tsign CA的密钥)将Beable Beable验证他们的许多常规通信合作伙伴的努力。这意味着通信不仅可以加密的很多很多,而且键实际上是经过身份验证的。
图:两个OpenPGP-CA使用组织和OpenPGP CA帮助创建的各种认证。使用这些认证,Alice能够验证Bob的键。
上图显示了使用OpenPGP CA的两个组织,Alpha.org和Beta.org,以及OpenPGP CA帮助的各种认证。在图中,Alice([email protected])有Tsigned Alpha.org的CA证书。 Alpha.org的CA Tsigned Beta.org'Sca证书,并将证书视为Beta.org。 Beta.org的CA认证了[email protected]证书。 Alice批准这些认证以证明Bob([email protected])证书。注意:如果Beta.org的CA已经过[email protected]认证了[email protected],则不会使用该[email protected]证明[email protected]的证书,因为她的CA制作的信任签名被认为是beta.org。这是可以在没有完全信任的情况下使用组织的CA。
OpenPGP CA是管理员的工具。由于它管理Sensitiveata,它应该在受保护的环境中运行。若要脱颖而下部署,OpenPGP CA还填写了一个REST守护程序,它易于集成到现有的Intranet后端或WebPortal中。在这种情况下,通过证明他们可以登录Web Portal并上传证书来向管理员身份验证的组织attestheir证书。如果它与用户的电子邮件地址匹配,则OpenPGP CA only才会仅提供用户ID。俱乐部也可以使用此操作,以便轻松认证和分发成员OpenPGP证书。