Încerc să înțeleg cum să efectuez autentificarea într-o rețea P2P fără un server central. Având în vedere o rețea fără o unitate centrală de încredere și un PKI, cum se poate fi sigur de autenticitatea cheilor publice?
De obicei, cheile publice ar fi semnate de o autoritate centrală de încredere care garantează autenticitatea cheilor. Cu toate acestea, într-o rețea P2P fără un server central nu există o astfel de unitate. Acest lucru ridică întrebarea cum să aveți încredere în autenticitatea cheilor publice.
Este posibil să folosiți o abordare web of trust? Câți colegi trebuie să cânte o cheie publică înainte de a putea fi de încredere?
Este posibil să utilizați un registru distribuit sau un lanț de blocuri?
Există alternative la o PKI în acest scenariu?
Exemplu de problemă:
Un utilizator, userA, își poate genera perechea de chei și își poate propaga cheia publică în rețea. Apoi, un al doilea utilizator, userB, poate genera o nouă pereche de chei și poate propaga cheia publică în rețea susținând că aparține utilizatoruluiA. Apoi, când vreau să trimit un mesaj utilizatoruluiA, voi găsi două chei publice. Cel generat de userA, iar cel fals generat de userB. Fără o unitate centrală de încredere care să semneze cheia, nu voi avea de unde să știu ce cheie aparține de fapt utilizatoruluiA și s-ar putea să ajung să comunic cu utilizatorulB crezând că este utilizatorul A.
Întrebarea este similară cu aceasta, dar sperăm că s-au făcut unele lucrări în ultimii 7 ani.
Cum se efectuează autentificarea fără server central în P2P?