La infraestructura de clave pública simple ( SPKI , pronunciada spoo-key ) fue un intento de superar la complejidad de la infraestructura de clave pública tradicional X.509 . Se especificó en dos especificaciones de Solicitud de comentarios (RFC) del Grupo de trabajo de ingeniería de Internet (IETF), RFC 2692 y RFC 2693, del grupo de trabajo SPKI del IETF. Estos dos RFC nunca superaron el nivel de madurez "experimental" del estado RFC del IETF . La especificación SPKI definió un formato de certificado de autorización, que proporciona la delimitación de privilegios, derechos u otros atributos similares (llamados autorizaciones ) y los vincula a una clave pública. En 1996, Ron Rivest y Butler Lampson fusionaron SPKI con Simple Distributed Security Infrastructure [1] ( SDSI , pronunciado jabonoso ) .
El SPKI original había identificado a los principales sólo como claves públicas, pero permitía autorizaciones vinculantes para esas claves y la delegación de autorización de una clave a otra. La codificación utilizada fue el emparejamiento atributo:valor, similar a los encabezados RFC 822.
El SDSI original vinculaba los nombres locales (de individuos o grupos) a claves públicas (u otros nombres), pero solo contaba con autorización en Listas de control de acceso (ACL) y no permitía la delegación de subconjuntos de la autorización de un principal. La codificación utilizada fue la expresión S estándar . Ejemplo de clave pública RSA en SPKI en "formato de transporte avanzado" (para el transporte real, la estructura estaría codificada en Base64 ):
( clave pública ( rsa-pkcs1-md5 ( e #03# ) ( n |ANHCG85jXFGmicr3MGPj53FYYSY1aWAue6PKnpFErHhKMJa4HrK4WSKTO YTTlapRznnELD2D7lWd3Q8PD0lyi1NJpNzMkxQVHrrAnIQoczeOZuiz/yY J1DdiImixyb/Jyme3D0UiUXhd6VGAz0x0cgrKefKnmjy410Kro3uW1 ) )) El SPKI/SDSI combinado permite nombrar directores, crear grupos de directores con nombre y delegar derechos u otros atributos de un director a otro. Incluye un lenguaje para la expresión de autorización, un lenguaje que incluye una definición de "intersección" de autorizaciones. También incluye la noción de sujeto umbral : una construcción que otorga autorizaciones (o delegaciones) sólo cuando concurren uno de los sujetos enumerados (en una solicitud de acceso o una delegación de derechos). SPKI/SDSI utiliza codificación de expresión S, pero especifica una forma binaria que es extremadamente fácil de analizar (una gramática LR(0)) llamada expresiones S canónicas .
SPKI/SDSI no define una función para una autoridad de certificación comercial (CA). De hecho, una premisa detrás de SPKI es que una CA comercial no tiene ningún propósito útil. [2] Como resultado de esto, SPKI/SDSI se implementa principalmente en soluciones cerradas y en proyectos de demostración de interés académico. Otro efecto secundario de este elemento de diseño es que es difícil monetizar SPKI/SDSI por sí solo. [ cita necesaria ] Puede ser un componente de algún otro producto, pero no existe ningún caso comercial para desarrollar herramientas y servicios SPKI/SDSI, excepto como parte de algún otro producto.
Las implementaciones generales más destacadas de SPKI/SDSI son E-speak, un producto middleware de HP que utilizaba SPKI/SDSI para el control de acceso a métodos web, y UPnP Security, que utiliza un dialecto XML de SPKI/SDSI [ cita necesaria ] para el acceso. control de métodos web, delegación de derechos entre los participantes de la red, etc.
