Quiero crear un nuevo esquema para la identificación del usuario, como los certificados X.509, pero no X.509. ¿Es posible utilizar este nuevo certificado a través de Internet existente? y si es así, ¿cuáles son los atributos básicos que deben conservarse O se pueden omitir?
Sigues usando esa identificación de palabra. No creo que signifique lo que crees que hace.
Internet mueve bits, no importa cuáles son esos bits. Obviamente, los servidores de terceros no respetarán los certificados no estándar, porque, ya saben, "estándar".
Depende de los atributos que incluya, ya que está diseñando su propia PKI.
No diseñe su propia PKI.
Dos respuestas:
¿Es técnicamente posible?
Sí. Todas las cosas son técnicamente posibles, con suficiente tiempo, dinero e ingenio. Puede crear un nuevo modelo criptográficamente vinculado para la identificación, crear nuevos estándares sobre cómo se describe la entidad identificada, crear un nuevo back-end para proporcionar la emisión, revocar y verificar la prueba de identidad y encontrar una nueva forma de transferir los datos.
Es probable que desees algún tipo de clave asimétrica, ya que necesitas una forma criptográfica de averiguar qué entidad individual estás identificando, y las claves simétricas son dolorosas para esto. Y querrá MUCHO tiempo y mano de obra, reinventar la PKI no es fácil.
Los desafíos más difíciles que veo son los intentos de incluir esto en SSL, pero siempre puede hacer una sesión de autenticación SSL / HTTPS de servidor y luego colocar su nuevo esquema de identificación en la carga útil de la aplicación, por ejemplo, en un POST de HTTP. Los estándares para la capa de aplicación de la red son abiertos lo suficiente para que esto pueda hacerse fácilmente.
¿Es una buena idea?
No. Absolutamente no.
Lo que pasa con un esquema de identificación es que funciona mejor si todos están de acuerdo. Las razones de los estándares de los certificados X509, la autenticación de cliente SSL, los distintos tipos de firmas digitales y otras formas de probar la custodia de las claves privadas es que hace que sea MUCHO más fácil de implementar en todos los productos de proveedores, equipos de red, sistemas operativos y otros componentes. Dicho esto, todavía no es fácil conectar estas cosas, incluso con todos estos estándares, las grandes organizaciones gastan MUCHO dinero cada año para que sus infraestructuras puedan identificar tanto a los usuarios como a los equipos.
Un modelo común para esta situación es la historia del "costo de la primera máquina de fax": la primera máquina de fax era extremadamente costosa y totalmente inútil. Al ser la primera máquina, no hay otro lugar para enviar un fax, por lo que fue esencialmente un ladrillo que no hizo nada. La segunda máquina de fax le dio un gran valor a la primera máquina de fax. Pero el tiempo en que existían muchas, muchas máquinas de fax, el costo de cada máquina de fax adicional era trivial en comparación con la gran potencia de poder enviar faxes por todo el lugar.
Lo mismo ocurre aquí: si haces el tuyo, deberás crear al menos dos puntos: el remitente y el destinatario, y ejecutar esto por ti mismo. Crear un nuevo modelo para PKI será un esfuerzo de muchos años y más años de integración y soporte de un modelo personalizado.
A menos que seas un estado nación, no te lo aconsejo.
Espera ... incluso si eres un estado nación, no te lo aconsejo.
Alternativo
El modelo PKI es bastante modular. Hay todo tipo de formas creativas para describir la entidad que desea identificar. Y diferentes formas de escribir su política de seguridad para manejar la revocación y verificación. Hay todo tipo de productos de código abierto que te permitirán personalizar una CA, personalizar las herramientas de verificación y distribuir información de revocación, y si eres lo suficientemente inteligente, puedes hacerlo sin violar los estándares básicos para esto.
Hay formas XML y ASN.1 de describir los artefactos criptográficos y conectarlos a información y acciones para usuarios y entidades no humanas.
Si el camino hacia una solución compatible con los estándares no está claro, este es un gran lugar para hacer preguntas adicionales.
Lea otras preguntas en las etiquetas authentication certificates x.509