خاص مقابل عام PKI: بناء خطة فعالة

البنية التحتية للمفتاح العام

عندما يشير الناس إليها جمهور or خاص PKI [01]، هم في الواقع يشيرون إلى موثوق به علنا و موثوق بها من القطاع الخاص البنى التحتية. الرجاء تذكر أن المفاتيح العامة والخاصة لا تتعلق بالمفتاحين العام والخاص PKI.

ما هو أكثر من ذلك ، تشير كلتا الحالتين إلى المستضافة PKI or PKI- كخدمة (PKIaaS). داخلي (أو مستضاف محليًا) PKI يمكن أن تعمل بشكل خاص PKI، ولكن الأمر يتطلب قدرًا كبيرًا من الجهد والموارد لتنفيذ الأدوات والخدمات التي قد تحصل عليها من موقع مستضاف PKI or PKIمزود aaS.

بشكل أساسي ، أ PKI وظيفتان:

  1. لإدارة مجموعة من الجمهور[02] والمفاتيح الخاصة و
  2. لربط كل مفتاح بهوية كيان فردي مثل شخص أو منظمة.

يتم إنشاء ملزم من خلال إصدار وثائق الهوية الإلكترونية ، ودعا شهادات رقمية [03]. يتم توقيع الشهادات بشكل مشفر باستخدام مفتاح خاص بحيث يمكن لبرنامج العميل (مثل المستعرضات) استخدام المفتاح العام المقابل للتحقق من الشهادة أصالة (أي تم التوقيع عليه من قبل المفتاح الخاص الصحيح) و سلامة (أي لم يتم تعديله بأي شكل من الأشكال).

موثوق بها بشكل عام وموثوق بها بشكل خاص PKI

في حين أن كلا PKI توفر التكوينات نفس الوظيفة ، ويكون تمييزها واضحًا تمامًا.

عام PKIموثوق بها تلقائيًا من قبل برنامج العميل ، بينما تكون خاصة PKIيجب أن يكون المستخدم موثوقًا يدويًا من قِبل المستخدم (أو ، في بيئات الشركات وإنترنت الأشياء ، التي تم نشرها على جميع الأجهزة بواسطة مسؤول المجال) قبل أي شهادات صادرة عن ذلك PKI يمكن التحقق من صحتها.

منظمة تحافظ على موثوقة علنية PKI يسمى أ المصدق (كاليفورنيا). لتصبح موثوقًا به بشكل عام ، يجب أن يتم تدقيق المرجع المصدق وفقًا لمعايير مثل متطلبات خط الأساس لمنتدى CA / B [04] ويتم قبولك في المتاجر الموثوقة العامة مثل برنامج Microsoft Trusted Root Store Program.

على الرغم من أن القطاع الخاص PKI يمكن أن تكون عمليات التنفيذ آمنة تمامًا مثل نظيراتها العامة ، ولا يتم الوثوق بها افتراضيًا لأنها غير متوافقة تمامًا مع هذه المتطلبات ومقبولة في برامج الثقة.

لماذا تختار موثوقة علنا PKI?

الثقة العامة تعني الثقة العامة شهادات الجذر (ربط هوية المرجع المصدق بمفاتيحها العامة الرسمية) موزعة بالفعل في معظم العملاء. يتم شحن المتصفحات وأنظمة التشغيل وبرامج العميل الأخرى بقائمة مضمنة من المفاتيح العامة الموثوقة التي يتم استخدامها للتحقق من صحة الشهادات التي تصادفها. (يمكن أيضًا توقع قيام البائعين المسؤولين بتحديث هذه القوائم عند تحديث برامجهم.) في المقابل ، شهادات الجذر الموثوق بها من القطاع الخاص (مطلوبة للشركات الخاصة PKI) يجب تثبيتها يدويًا في العميل قبل الشهادات من هذه الخاصة PKIيمكن التحقق من صحة s.

ونتيجة لذلك ، إذا كنت تحاول حماية موقع ويب يمكن الوصول إليه بشكل عام أو مورد آخر على الإنترنت ، فإن شهادة صادرة من جهة موثوقة عامة PKI (على سبيل المثال ، المرجع المصدق) هو السبيل للذهاب ، حيث يطلب من كل زائر تثبيت يدوي خاص PKIشهادة الجذر في متصفحهم ليست عملية (والتحذيرات الأمنية المتسقة التي يحتمل أن تنتج ستؤثر سلبًا على سمعة موقعك).

لماذا تختار موثوقة خاصة PKI?

عام PKIيجب أن تلتزم بصرامة اللوائح وأن تخضع لعمليات تدقيق منتظمة ، في حين أن شخص موثوق به من القطاع الخاص PKI قد يتخلى عن متطلبات المراجعة وينحرف عن المعايير بأي طريقة يراها مشغلها مناسبة. على الرغم من أن هذا قد يعني أنهم لا يتبعون أفضل الممارسات بدقة ، إلا أنه يسمح أيضًا للعملاء باستخدام خاص PKI المزيد من الحرية فيما يتعلق بسياسات وعمليات الشهادة الخاصة بهم.

أحد الأمثلة: تمنع متطلبات خط الأساس مراجع التصديق الموثوق بها بشكل عام لإصدار شهادات للمجالات الداخلية (على سبيل المثال example.local). خاص PKI يمكن ، عند الرغبة ، إصدار شهادات لأي مجال حسب الحاجة ، بما في ذلك المجالات المحلية.

يجب أن تتضمن الشهادات الموثوقة علنًا دائمًا معلومات محددة بطريقة محددة بدقة من خلال لوائح الرقابة الخاصة بها ومنسقة في تعيين ملف تعريف الشهادة لمعيار X.509 المقبول للشهادات العامة. ومع ذلك ، قد يطلب بعض العملاء ملف تعريف شهادة مخصص ، مصمم خصيصًا للاستخدامات المتوقعة لمؤسستهم ومخاوف الأمان. خاص PKI يمكن إصدار الشهادات باستخدام ملف تعريف الشهادة المتخصصة.

وبصرف النظر عن الشهادة نفسها ، خاصة PKI يسمح بالتحكم الكامل في إجراءات التحقق من الهوية وبيانات الاعتماد أيضًا. يمكن دمج أنظمة التحكم في الوصول الخاصة بالعميل (مثل تسجيل الدخول الفردي أو أدلة LDAP) مع النظام الخاص PKI خدمة لتوفير شهادات بسهولة للأطراف الموثوقة بالفعل من قبل المشغل. في المقابل ، موثوق به علنا PKI يجب إجراء فحوصات يدوية ومؤتمتة صارمة والتحقق من صحة قواعد البيانات المؤهلة قبل إصدار أي شهادة.

شفافية الشهادة

يجب أن نلاحظ أيضا أن خاص PKI غير مطلوب للمشاركة في شفافية الشهادة [05].

المتصفحات مثل Chrome تفرض الآن [06] CT لجميع الشهادات الموثوقة بشكل عام ، والتي تتطلب من المراجع المصدقة نشر جميع الشهادات الصادرة إلى قاعدة بيانات يمكن الوصول إليها بشكل عام. نشر PKI المشغلين ، مع ذلك ، غير ملزمين بتنفيذ التصوير المقطعي المحوسب ، وقد ينتجون نتيجة ذلك خصوصية أفضل للتطبيقات الحساسة ، أو حيث يعتبر الكشف العلني عن بنية الشبكة الداخلية ضارًا [07].

وفي الختام

اختيار واحد PKI الحل على الآخر ليس قرارا تافها. العامة والخاصة PKI تقديم مزايا وعيوب ، ويمكن أن يعتمد اختيارك الخاص على العديد من العوامل ، بما في ذلك الحاجة إلى الوصول العام ، وسهولة الاستخدام ، ومتطلبات الأمان والسياسات للتحكم في بنيتك الأساسية.

هنا في SSL.com، يسعدنا مساعدتك في بناء فعالية PKI الخطة التي تناسب احتياجات مؤسستك الفريدة.

مراجع حسابات

  1. البنية التحتية للمفتاح العام
  2. تشفير المفتاح العام
  3. شهادات رقمية
  4. متطلبات خط الأساس للمنتدى CA / B
  5. شفافية الشهادة
  6. يفرض Chrome CT
  7. الجانب المظلم من CT

نيك نزيريديس

مسؤول CA - المؤلف الفني
جميع المشاركات

مقالات ذات صلة

عرض جميع المقالات
فيسبوك يوتيوب تويتر جيثب

اشترك في النشرة الإخبارية لـ SSL.com

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية لـ SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

ابق على اطلاع وآمن

SSL.com هي شركة عالمية رائدة في مجال الأمن السيبراني، PKI والشهادات الرقمية. قم بالتسجيل لتلقي آخر أخبار الصناعة والنصائح وإعلانات المنتجات من SSL.com.

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح