去中心化的用户身份验证——可能吗？

Question

我正在设计一个完全分布式 P2P 消息应用程序。

编辑：不仅仅是任何消息应用程序——特别是公共论坛。消息从一个邻居传递到另一个邻居，因此消息可能来自原始作者以外的其他人。通信的保密性并不重要。然而，消息作者的验证至关重要。

这个问题需要介绍一下：

在客户端-服务器模型中，每个客户端都可以确定消息的来源就是消息所说的内容，因为有一个“中间人”身份验证服务器来检查用户的凭据（用户名、密码）在将消息中继到接收客户端之前，匹配内部秘密数据库中的条目。

问题是：这可以在纯 P2P 中实现吗？

假设每个客户端都存储完整的用户凭据集。当然，不同之处在于客户端不能查看它们——因此它们将以加密格式存储。必须检查加密凭据是否与另一组加密凭据相等，而无需完全解密任一组。

这可以做到吗？有更好的方法吗？
（记住：100% P2P。没有服务器。）

Answer 1

我建议您研究一个名为信任网络的模型。例如 PGP 使用它来分散身份验证。

这句话总结得很好：

随着时间的推移，您将积累来自您可能希望指定为可信介绍人的其他人的密钥。其他人都会选择自己信任的介绍人。每个人都会逐渐积累并用他们的密钥分发其他人的一系列证明签名，并期望收到它的任何人都会信任至少一个或两个签名。这将导致所有公钥的去中心化容错信任网络的出现。

Answer 2

您需要查看PKI。基本上，用户被分配一对密钥，公钥和私钥。要签署消息，您只需使用您的私钥对其进行加密即可。任何人都可以使用您的公钥对其进行解密，因此如果有效，它必须已由您签名。

有一大堆问题需要理解（主要是密钥交换），这就是上面的“信任网络”答案的来源......

它解决的问题本质上是 - “我们如何知道我们获得的公钥真的属于我们认为他们属于的人吗？