本文摘要：之前，我们已连载中翻译成了 Rebooting Web of Trust 的组织在 RWOT IX — Prague, 2019会议上的论文《Alice Attempts to Abuse a Verifiable Credential》，理解了 Alice 是如何企图对其处方展开害人的，本期我们将连载中最后一部分，向大家阐释作为检验者要如何避免遭到蓄意证书持有者的欺诈。

之前，我们已连载中翻译成了 Rebooting Web of Trust 的组织在 RWOT IX — Prague, 2019会议上的论文《Alice Attempts to Abuse a Verifiable Credential》，理解了 Alice 是如何企图对其处方展开害人的，本期我们将连载中最后一部分，向大家阐释作为检验者要如何避免遭到蓄意证书持有者的欺诈。作者：P. Dingle, S. Hammann, D. Hardman, C. Winczewski, S. Smith检验者的最佳实践中在本节中，我们将从 Alice 的故事中跳出来，叙述一般来说检验者不应遵循的最佳作法，以避免遭到蓄意证书持有者的欺诈。我们将大体按照凭证检验过程的顺序来阐释适当的要点。

· 检验者不不应容许其他人来证实检验过程（或其一部分）。持有人展开的检验不获取任何确保；持有人可以用于欺诈性的软件，使其看上去样子检验顺利了。

检验者必需具体解释可拒绝接受的发行者和可拒绝接受的凭证模式，并且必需证实展出的凭证合乎这些拒绝。例如，在测试届满时间时，不得将月/日/年的编码模式与日/月/年的编码模式互为误解。用于第三方检验者不会使检验者受到影响，任何人可能会和第三方检验者指使，或者第三方检验本身在不存在漏洞。· 检验者不应将凭证持有者获取的数据视作不能信输出，并继续执行必要的输出检验，而不是假设这些数据享有准确的凭证格式。

这是标准的安全性编码作法：必需对来自不不受信任来源的任何输出展开适合的检验，以避免再次发生例如代码流经或缓冲区阻塞之类的反击。仅有在顺利展开输出检验之后，才可继续执行可验证凭证的检验代码。· 检验者必需一直用于发行者的公钥展开亲笔签名检验，或准确检验获取的零科学知识证明。必须尤其解释的是，忽视此检查决不是使业务维持长时间运营的一个可拒绝接受补选项，例如，当相连中断时忽视该检查。

凭证欺诈所产生的潜在成本有可能比一段时间中断业务活动所产生的潜在成本高得多。虽然短时间内内存发行者的公钥是可以拒绝接受的，但作为最佳实践中，此内存时间应短一些，以避免用于原有公钥展开亲笔签名检验（例如，由于原有密钥外泄，发行者有可能已替换密钥）。· 检验者必需保证发行者在基础信任框架下已被许可可以发售这种类型的凭证。

必需创建一个信任框架，并具体定义涉及规则，如哪些发行者可以有效地发售哪种类型的凭证，并且这些规则必需由检验者强迫检验。· 检验者必需有一套具体定义的凭证拒绝接受标准。这还包括但不仅限于确认证书归属于持有人声称其所属的主体（一般来说是持有人本身）。在“Alice 企图出售/租赁她的凭证” 中阐述了将可验证凭证初始化到主体的一些方法。

请注意，这是一个简单的问题，在本文的小节中并无法几乎解决问题。如果必需手动继续执行检查，例如将照片与人的脸部展开较为，则切勿遵循准确的标准。我们叙述了一种类似类型的凭证，该凭证不能表明一次；其它凭证类型有可能必须有所不同的域限定版检查。

信任框架切勿具体定义检验者必需继续执行的其它检查。· 检验者必需检查凭证否已过期并否被注销。注销检查牵涉到注销列表（例如，和存储发行人公钥的同一账本）。

因此，不应使用与查询密钥完全相同的最佳作法（例如，较短的内存时间）。最佳实践中列表并不详细。毫无疑问，更加标准化的建议是必要的。

另外，特定的最佳实践中在特定行业或特定证明环境中有可能很最重要。生存能力我们的大多数辩论都使用了传统的网络安全思想，特别强调漏洞及其对策。但是，军事人员使用了以任务生存能力为基础的观点。在这种方法中，问题不是“ 我们如何避免反击？” ，而是“ 面临活跃的反击，我们如何已完成我们的任务？”。

在之前的 Alice 药房场景中，药房的任务是根据法律/法规以可拒绝接受的方式按方配药，这灵感我们考虑到影响结果的相互依存的三个因素：· 易受攻击性（反击的可能性）· 脆弱性（等价一个反击的情况下，伤害的可能性）· 可恢复性（在等价伤害的情况下，完全恢复的简便性和几乎度） 上面所列的大多数对策可解决问题脆弱性的问题，但也有值得注意。生物特征辨识和 link secret bond 机制会必要妨碍凭证销售（减少脆弱性）；忽略，它们通过毁坏动机以增加被反击的可能性。

该类技术可以在凭证场景中有普遍的应用于。荐个例子，爱沙尼亚的在线投票系统容许每个公民随便投票多次，但只计算出来最后一次投票。

这就毁坏了行贿卖选票的任何动机，因为被行贿的公民随后可以再度投（自己确实想的）票，从而避免了欺诈的影响并增加了被反击的可能性。某种程度，可恢复性的问题也有一点深思。如果凭证欺诈能被较慢自动地检测出来，并展开撤销和惩罚，那么即使最初的欺诈比较更容易，也能解释某些证明场景的维护是做到的。例如，在我们的离线检验场景中，为了较慢发给救命药品，可以必要放开对亲笔签名的实时性确保，但是必需慎重权衡完全恢复的时间和自动化性质。

信任框架的不存在可以保证早已细心评估并公开发表记录这些折衷方案。我们指出，一个成熟期且安全性的可验证凭证生态系统不应还包括所有这三个维度涉及的周全决策，而不仅能脆弱性问题这一种。总结我们可以看见 Alice 改动处方药或从其处方药中利润的尝试未顺利。

在每个步骤中，她企图伪造凭证或以远超过预期的凭证欺诈不道德都被检测出来，并没获得成功。药房当作了检验者，通过遵循最佳实践中，网卓新闻网，保证了系统内的完整性并明显减少了风险。值得注意的是，尽管本文企图从持有者的角度确认许多有可能的攻击方式，但这决不是针对当前或未来反击的详细叙述。检验关键点的准确性和完整性的必要标准根据用于情况而有所不同。

作者建议，检验的任何实施者也不应展开全面的风险分析，并根据他们的特定市场需求展开分析。如果您想要理解更加多有关信任框架的内容，也青睐注目本体的去中心化身份应用于框架 ONT ID。ONT ID 可以让您享有一个几近100%的自己，一个专归属于您自己的画像。

您不仅可以通过ONT ID 证明“我是我”，还能证明“我是什么样的我”。比如说，如果 Alice 在出售处方时通过 ONT ID 被找到在过去有诸多欺诈不道德，否不会使凭证检验过程更为便利呢？。

本文来源：九州体育-www.hebeiweilun.com