Google上周藉由GitHub釋出了「金鑰透明度」(Key Transparency)專案,試圖打造一個通用且互動的公開金鑰目錄,方便發送端確認接收端的公開金鑰,以簡化加密應用的部署。
Google說明,加密為網路上的基本技術,他們一直努力讓加密應用更容易使用,此外,利用一個通用且安全的方式去發現接收端的加密金鑰以解決正確的訊息傳遞是重要的,一來可以造福眾多的應用,二來市場上尚無此類的通用技術存在,因此,Google結合了Certificate Transparency與CONIKS的概念,打造了Key Transparency。
現今要保障使用者抵擋已被入侵的伺服器所使用的方式多半是要求使用者手動驗證接收端的帳號,但這並不可行,而Key Transparency即是要簡化此一流程,建置一個讓非專業人士也能使用的基礎架構。使用者與公開金鑰之間的關係應該要能自動驗證與公開稽核,因此,使用者必須看到所有附加在某一帳號的所有金鑰,且該帳號的所有變更都應清晰可見,這同樣也能確保寄送端使用的是已通過對方驗證的一致金鑰。
Key Transparency便是一個通用且透明的目錄,允計開發人員建立各種具備獨立稽核帳號資料的系統,它可被使用在需要加密與驗證資料的應用中,或是打造諸如帳號回復等安全功能。
目前的Key Transparency專案仍只是個原型,Google打算繼續與加密社群溝通,鼓勵意見交流,最終目標是讓它成為一個開放源碼、可擴充且通用的公開金鑰互動目錄,創造可相互稽核的生態體系,並成為網路上的安全標準。